发布日期：2013-02-27
更新日期：2013-03-05

受影响系统：

IBM Cognos Business Intelligence 8.x
IBM Cognos Business Intelligence 10.x

描述：

---

BUGTRAQ  ID: 58263
CVE(CAN) ID: CVE-2012-4835

IBM Cognos Business Intelligence是基于Web的集中式商务智能套件。

IBM Cognos Business Intelligence 10.1, 10.1.1, 10.2, 8.4.1在实现上存在跨站脚本漏洞，可允许远程攻击者注入任意Web脚本或HTML。

<*来源：vendor
  
  链接：http://xforce.iss.net/xforce/xfdb/78917
        http://www-01.ibm.com/support/docview.wss?uid=swg21626697
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 配置 IBM Cognos BI 10.1 或更高版本在会话cookie里使用httpOnly属性，防止攻击者窃取用户会话ID。

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.ibm.com/developerworks/downloads/im/cognosbi/
http://www-01.ibm.com/support/docview.wss?uid=swg24034373

浏览次数：4722
严重程度：0（网友投票）