NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in IBM Cognos Controller
Advisory ID     : NCSC-2025-0064
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2020-11979, CVE-2021-36373, CVE-2021-36374,
                  CVE-2022-4244, CVE-2022-4245, CVE-2023-47160,
                  CVE-2023-50314, CVE-2024-21131, CVE-2024-21144,
                  CVE-2024-21145, CVE-2024-27267, CVE-2024-28776,
                  CVE-2024-28777, CVE-2024-28780, CVE-2024-38999,
                  CVE-2024-45081, CVE-2024-45084, CVE-2024-52902
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Improper Restriction of XML External Entity Reference
                  Improper Neutralization of Input During Web Page
                  Generation ('Cross-site Scripting')
                  Out-of-bounds Write
                  Deserialization of Untrusted Data
                  Improper Handling of Length Parameter Inconsistency
                  CWE-399
                  Insecure Temporary File
                  XML Injection (aka Blind XPath Injection)
                  Creation of Temporary File in Directory with Insecure
                  Permissions
                  Improperly Controlled Modification of Object Prototype
                  Attributes ('Prototype Pollution')
                  Uncontrolled Resource Consumption
                  Channel Accessible by Non-Endpoint
                  Improper Control of Generation of Code ('Code
                  Injection')
                  Allocation of Resources Without Limits or Throttling
                  Improper Limitation of a Pathname to a Restricted
                  Directory ('Path Traversal')
                  Use of a Broken or Risky Cryptographic Algorithm
                  Use of Hard-coded Credentials
                  Improper Certificate Validation
                  Improper Input Validation
                  Improper Access Control
                  Incorrect Authorization
Uitgiftedatum   : 20250221
Toepassing      : ibm cognos_controller
Versie(s)       :
Platform(s)     :

Beschrijving
   IBM heeft kwetsbaarheden verholpen in IBM Cognos Controller (Versies
   11.0.0 tot 11.0.1 FP3 en 11.1.0).

   De kwetsbaarheden stellen een kwaadwillende in staat om aanvallen uit
   te voeren die kunnen leiden tot de volgende categorieën schade:
   - Denial-of-Service (DoS)
   - Cross-Site-Scripting (XSS)
   - Omzeilen van een beveiligingsmaatregel
   - Manipulatie van gegevens
   - Verkrijgen van verhoogde rechten
   - Uitvoer van willekeurige code (Gebruikersrechten)
   - Toegang tot gevoelige informatie
   De kwetsbaarheden bevinden zich zowel in de Cognos Controller-
   Applicatie zelf, als in onderliggende producten, zoals Java,
   Websphere Liberty, Apache Ant en diverse Open Source componenten,
   welke met Cognos Controller worden meegeleverd.

Mogelijke oplossingen
   IBM heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie
   bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference - cveprojectv5; nvd
      https://www.ibm.com/support/pages/node/7183597

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=Djnt
-----END PGP SIGNATURE-----