发布日期：2013-02-27
更新日期：2013-03-05

受影响系统：

IBM Cognos Business Intelligence 8.x
IBM Cognos Business Intelligence 10.x

描述：

---

BUGTRAQ  ID: 58268
CVE(CAN) ID: CVE-2012-4837

IBM Cognos Business Intelligence是基于Web的集中式商务智能套件。

IBM Cognos Business Intelligence没有正确验证XPath查询，在实现上存在XPath注入漏洞，经过身份验证的远程攻击者可以注入XPath代码并读取任意XML文件。

<*来源：vendor
  
  链接：http://xforce.iss.net/xforce/xfdb/78917
        http://www-01.ibm.com/support/docview.wss?uid=swg21626697
*>

建议：

---

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.ibm.com/developerworks/downloads/im/cognosbi/
http://www-01.ibm.com/support/docview.wss?uid=swg24034373

浏览次数：4206
严重程度：0（网友投票）