关键漏洞信息 漏洞概述 产品: IBM Cognos Analytics 受影响版本: 11.1, 11.0 漏洞详情 CVE-2010-5312 - 描述: jQuery UI 的跨站脚本漏洞,因用户输入验证不当导致 - CVSS 基础评分: 4.3 CVE-2019-0205 - 描述: Apache Thrift 中的拒绝服务漏洞,因处理不可信的 Thrift 载荷时的错误造成 - CVSS 基础评分: 7.5 CVE-2019-0210 - 描述: Apache Thrift 中的拒绝服务漏洞,因 Go 中使用 TJSONProtocol 或 TSimpleJSONProtocol 时的越界读取导致 - CVSS 基础评分: 7.5 CVE-2020-4377 - 描述: IBM Cognos Analytics 中的 XML 外部实体注入 (XXE) 漏洞,当处理 XML 数据时产生 - CVSS 基础评分: 8.2 CVE-2016-7103 - 描述: jQuery UI 中的跨站脚本漏洞,因对话框函数的用户输入验证不当引起 - CVSS 基础评分: 6.1 CVE-2019-4589 - 描述: IBM Cognos Analytics 中的权限提升漏洞,"我的计划和订阅"页面对权限较低的用户可见和可访问 - CVSS 基础评分: 4.6 CVE-2019-4366 - 描述: IBM Cognos Analytics 中的信息披露漏洞,攻击者可访问缓存的浏览器数据 - CVSS 基础评分: 2.9 影响产品和版本 IBM Cognos Analytics 11.1 IBM Cognos Analytics 11.0 (版本早于 11.0.13 FP2) 修复措施 IBM Cognos Analytics 11.1.x: 请尽快安装针对受影响版本的修复包 - 下载 IBM Cognos Analytics 11.1.7.0 IBM Cognos Analytics 11.0.x: 仅 CVE-2016-7103 影响此版本,且仅限于 IBM Cognos Analytics 11.0.13 FP2 之前版本。建议升级至 IBM Cognos Analytics 11.0.x 的最新可用版本 - IBM Cognos Analytics 11.0.13 Fix Pack 3