-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in IBM Cognos Command Center Advisory ID : NCSC-2025-0269 Versie : 1.00 Kans : medium CVE ID : CVE-2025-1494, CVE-2025-1994, CVE-2025-2697, CVE-2025-2900, CVE-2025-4447 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Stack-based Buffer Overflow Heap-based Buffer Overflow Use of Inherently Dangerous Function URL Redirection to Untrusted Site ('Open Redirect') Out-of-bounds Write Improper Restriction of Rendered UI Layers or Frames Uitgiftedatum : 20250827 Toepassing : IBM Cognos Command Center Versie(s) : Platform(s) : Beschrijving IBM heeft kwetsbaarheden verholpen in IBM Cognos Command Center (Versies 10.2.4.1 en 10.2.5). De kwetsbaarheden in IBM Cognos Command Center stellen kwaadwillenden in staat om klikacties van slachtoffers te kapen door hen te misleiden naar een kwaadaardige website te navigeren. Dit kan leiden tot verdere aanvallen die de integriteit van gebruikersinteracties in gevaar brengen. Daarnaast kunnen lokale gebruikers willekeurige code uitvoeren door een onveilige implementatie van de BinaryFormatter- functie. Ook is er een open redirect-mechanisme aanwezig dat kan worden misbruikt voor phishing-aanvallen, wat kan resulteren in het compromitteren van gevoelige informatie. Het is niet ondenkbaar, dat het misbruiken in keten een kwaadwillende in staat kan stellen om zonder voorafgaande authenticatie willekeurige code uit te voeren met rechten van het slachtoffer en toegang te krijgen tot gevoelige gegevens. Mogelijke oplossingen IBM heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://www.ibm.com/support/pages/node/7242159 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmivA/gACgkQytTOqyR+ cF/Iagv+KdRrG+eTNvl6cCqD/zV0Jddqd3ZLszxwFHAWMKxryw7G+K/DRpf7x+c9 7xFBc1oliReybSdJoqMvKHuzYCQoITh4TD/wAre9lfq4bot4NN8gas5lqnly4lD7 Ls7J4xGm61R7+JC8KDFFxd1nPaZj7Siny3pGp4Y1o3Xqmdk2IVu0rROPlRCXZ4zJ CxSXgpka8d5IzdLvpkHYWvHcqNBB6Isu1OyAhufXHX7c+/5VH9k9+uiTz8oTN348 ixQtcUCGzLvyIbfhNAa3hwDEmp5iPyhoZAHjtGYG/yF6WWGc9C5+G4RIZJpimTUe 5e7aynJKUKAUeI/j+J8lO/8ultzyIueDHUKc0x5Dy8YrK7FC/W1nxzR2S27ADGpE 7jYv8nVtxDr94qhRwzPpg/szDwFpgeKlVESnqgMCTx78nUa/Y8WuQ386b+MyK4UC xTJRdZdMwsH/vH7mwYJDatw+mT3qBEvx3loDcoWJhyh2uatpEyXr4uFtOlwPdeoq hJAGPH5D =4YRm -----END PGP SIGNATURE-----