Poważna luka w IBM API Connect zagraża bezpieczeństwu aplikacji
IBM ujawnił szczegóły dotyczące krytycznej luki bezpieczeństwa w swoim oprogramowaniu API Connect, która może umożliwić atakującym zdalny dostęp do aplikacji.
Luka, oznaczona jako CVE-2025-13915, otrzymała ocenę 9.8 w skali maksymalnej 10.0 według systemu punktacji CVSS. Opisano ją jako błąd omijania mechanizmów uwierzytelniania.
„IBM API Connect może pozwolić zdalnemu atakującemu na ominięcie mechanizmów uwierzytelniających i zdobycie nieautoryzowanego dostępu do aplikacji” – podano w komunikacie prasowym firmy.
Dotknięte wersje oprogramowania
Problematyczne wersje IBM API Connect obejmują:
- 10.0.8.0 do 10.0.8.5
- 10.0.11.0
Zalecenia dla użytkowników
Klientom zaleca się podjęcie poniższych kroków:
- Pobranie poprawki z Fix Central.
- Rozpakowanie plików: Readme.md oraz ibm-apiconnect-
-ifix.13195.tar.gz . - Zastosowanie poprawki zgodnie z odpowiednią wersją API Connect.
„Klienci, którzy nie będą w stanie zainstalować poprawki tymczasowej, powinni wyłączyć opcję rejestracji samodzielnej na swoim Portalu Dewelopera, jeśli jest włączona, co pomoże zminimalizować narażenie na tę lukę” – dodała firma.
Znaczenie API Connect
API Connect to rozwiązanie do zarządzania interfejsami programowania aplikacji (API), które umożliwia organizacjom tworzenie, testowanie, zarządzanie i zabezpieczanie API w chmurze oraz lokalnie. Jest wykorzystywane przez takie firmy jak Axis Bank, Bankart, Etihad Airways, Finologee, IBS Bulgaria, State Bank of India, Tata Consultancy Services oraz TINE.
Chociaż nie ma dowodów na to, że luka została wykorzystana w praktyce, użytkownicy są proszeni o jak najszybsze zastosowanie poprawek w celu zapewnienia optymalnej ochrony.
