CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2023-42017 – IBM Planning Analytics file upload
https://notcve.org/view.php?id=CVE-2023-42017
IBM Planning Analytics Local 2.0 could allow a remote attacker to upload arbitrary files, caused by the improper validation of file extensions. By sending a specially crafted HTTP request, a remote attacker could exploit this vulnerability to upload a malicious script, which could allow the attacker to execute arbitrary code on the vulnerable system. IBM X-Force ID: 265567. IBM Planning Analytics Local 2.0 podría permitir a un atacante remoto cargar archivos arbitrarios, provocados por la validación inadecuada de las extensiones de archivo. Al enviar una solicitud HTTP especialmente manipulada, un atacante remoto podría aprovechar esta vulnerabilidad para cargar un script malicioso, lo que podría permitir al atacante ejecutar código arbitrario en el sistema vulnerable. • https://exchange.xforce.ibmcloud.com/vulnerabilities/265567 https://www.ibm.com/support/pages/node/7096528 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 6.1EPSS: 0%CPEs: 10EXPL: 0CVE-2021-39047
https://notcve.org/view.php?id=CVE-2021-39047
IBM Planning Analytics 2.0 and IBM Cognos Analytics 11.2.1, 11.2.0, and 11.1.7 are vulnerable to cross-site scripting. This vulnerability allows users to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session. IBM X-Force ID: 214349. IBM Planning Analytics versión 2.0 e IBM Cognos Analytics versiones 11.2.1, 11.2.0 y 11.1.7, son vulnerables a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista y conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. • https://exchange.xforce.ibmcloud.com/vulnerabilities/214349 https://security.netapp.com/advisory/ntap-20220729-0002 https://www.ibm.com/support/pages/node/6565099 https://www.ibm.com/support/pages/node/6597241 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-22339
https://notcve.org/view.php?id=CVE-2022-22339
IBM Planning Analytics 2.0 is vulnerable to server-side request forgery (SSRF). This may allow an authenticated attacker to send unauthorized requests from the system, potentially leading to network enumeration or facilitating other attacks. IBM X-Force ID: 219736. IBM Planning Analytics versión 2.0, es vulnerable a un ataque de tipo server-side request forgery (SSRF). Esto puede permitir a un atacante autenticado enviar peticiones no autorizadas desde el sistema, conllevando a una enumeración de la red o facilitar otros ataques. • https://exchange.xforce.ibmcloud.com/vulnerabilities/219736 https://www.ibm.com/support/pages/node/6565099 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-22308
https://notcve.org/view.php?id=CVE-2022-22308
IBM Planning Analytics 2.0 is vulnerable to a Remote File Include (RFI) attack. User input could be passed into file include commands and the web application could be tricked into including remote files with malicious code. IBM X-Force ID: 216891. IBM Planning Analytics versión 2.0, es vulnerable a un ataque de Inclusión de archivos remota (RFI). La entrada del usuario podría pasar a los comandos de inclusión de archivos y la aplicación web podría ser engañada para incluir archivos remotos con código malicioso. • https://exchange.xforce.ibmcloud.com/vulnerabilities/216891 https://www.ibm.com/support/pages/node/6557106 • CWE-829: Inclusion of Functionality from Untrusted Control Sphere •
CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 0CVE-2021-38873
https://notcve.org/view.php?id=CVE-2021-38873
IBM Planning Analytics 2.0 is potentially vulnerable to CSV Injection. A remote attacker could execute arbitrary commands on the system, caused by improper validation of csv file contents. IBM X-Force ID: 208396. IBM Planning Analytics versión 2.0, es potencialmente vulnerable a una inyección de CSV. Un atacante remoto podría ejecutar comandos arbitrarios en el sistema, causados por una comprobación incorrecta del contenido de los archivos csv. • https://exchange.xforce.ibmcloud.com/vulnerabilities/208396 https://www.ibm.com/support/pages/node/6517470 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •