关键信息总结 漏洞概述 IBM Cognos Analytics Certified Containers 受到 PostgreSQL JDBC 驱动中的安全漏洞影响。此外,它还受到信息泄露漏洞的影响。 漏洞详情 1. CVE-2022-31197 - 描述: PostgreSQL JDBC 驱动 (PgJDBC) 的 方法未对列名进行转义,可能导致 SQL 注入。 - CWE: CWE-89 (SQL 注入) - CVSS Base 分数: 6.5 2. CVE-2022-41946 - 描述: 在某些条件下,PgJDBC 创建的临时文件在 Unix 系统上可被其他用户读取,导致信息泄露。 - CWE: CWE-200 (敏感信息泄露) - CVSS Base 分数: 6.3 3. CVE-2024-1597 - 描述: 启用 模式的 PgJDBC 可能允许攻击者通过构造特定字符串注入 SQL。 - CWE: CWE-89 (SQL 注入) - CVSS Base 分数: 10 4. CVE-2025-49146 - 描述: 特定版本的 PgJDBC 在配置为使用通道绑定时,可能允许中间人攻击者拦截连接。 - CWE: CWE-287 (不正确的身份验证) - CVSS Base 分数: 5.9 5. CVE-2025-33150 - 描述: Cognos Analytics Certified Containers 可能因隐藏页面泄露包参数信息。 - CWE: CWE-552 (文件或目录对外部方可见) - CVSS Base 分数: 5.3 6. CVE-IBM 220313 - 描述: 通过指定任意连接属性,攻击者可能利用 PgJDBC 连接配置的信息泄露,获得系统未经授权的访问。 - CWE: CWE-287 (不正确的身份验证) - CVSS Base 分数: 9.8 受影响的产品和版本 受影响产品: IBM Cognos Analytics Certified Containers 版本: 12.1.0 修复措施 固定版本: 12.1.1 链接: Installing and deploying Cognos Analytics Certified Containers 绕过和缓解措施 无可用措施