IBM 披露其 Cognos Analytics 平台存在两个严重漏洞，可能危及敏感数据和系统完整性。这些漏洞被识别为 CVE-2024-51466 和 CVE-2024-40695，凸显了商业智能环境中的风险。

IBM Cognos Analytics 是一款集成的商业智能套件，可为企业环境提供报告、分析和监控功能。它为全球组织提供决策和性能跟踪工具。然而，该平台的普及使其成为复杂攻击的目标。

这些漏洞影响软件的 12.0.0 至 12.0.4 版本和 11.2.0 至 11.2.4 FP4 版本。IBM 强烈建议用户升级至 IBM Cognos Analytics 12.0.4 Interim Fix 1 或 11.2.4 FP5 以降低风险。

CVE-2024-51466：表达式语言注入（CVSS 9.0）

第一个漏洞是表达式语言 (EL) 注入漏洞，允许远程攻击者执行特制的 EL 语句。这可能导致敏感信息暴露、内存过度消耗，甚至服务器崩溃。

IBM 解释说：“当使用特制的 EL 语句时，远程攻击者可能利用这个漏洞暴露敏感信息、消耗内存资源和/或导致服务器崩溃。该漏洞的 CVSS 得分为 9.0，被视为严重漏洞。”

CVE-2024-40695： 恶意文件上传（CVSS 8.0）

第二个漏洞涉及网络接口中文件验证不足，使特权用户能够上传恶意文件。这些文件随后会被执行，对系统完整性构成威胁，并可能成为进一步攻击的载体。

IBM 对这一漏洞的描述是：“攻击者可以利用这一弱点，将恶意可执行文件上传到系统中，并将其发送给受害者，以实施进一步攻击。”

为了解决这些漏洞，IBM 发布了补丁程序，并强烈建议立即更新受影响的系统。遗憾的是，目前还没有针对这些问题的解决方法或缓解措施，因此及时补救至关重要。