IBM ujawnił krytyczną podatność w produkcie API Connect, która może umożliwić zdalnemu napastnikowi ominięcie mechanizmów uwierzytelniania i uzyskanie nieautoryzowanego dostępu do aplikacji.
Usterka, oznaczona jako CVE-2025-13915, otrzymała ocenę 9,8 w skali CVSS (maksymalnie 10,0), co klasyfikuje ją jako krytyczną. W praktyce oznacza to, że podatność daje atakującemu bardzo duże możliwości przejęcia kontroli nad zaatakowanym środowiskiem bez konieczności posiadania poprawnych danych logowania.
Problem dotyczy konkretnych wydań IBM API Connect. Zagrożone są wersje:
- 10.0.8.0 do 10.0.8.5 (włącznie)
- 10.0.11.0
Aby zminimalizować ryzyko, IBM zaleca jak najszybsze zastosowanie dostępnej poprawki. Kroki postępowania wskazane przez producenta to między innymi:
- pobrać poprawkę z Fix Central,
- wypakować pliki: Readme.md oraz ibm-apiconnect–ifix.13195.tar.gz,
- zastosować poprawkę zgodnie z instrukcjami dla używanej wersji API Connect.
Dla klientów, którzy nie mogą od razu zainstalować tymczasowej poprawki, IBM rekomenduje wyłączenie funkcji self-service sign-up (rejestracji samoobsługowej) na portalu deweloperskim, jeśli jest włączona. To tymczasowe ograniczenie funkcjonalności zmniejszy powierzchnię ataku i ograniczy ekspozycję na tę lukę.
API Connect to kompleksowe rozwiązanie do zarządzania interfejsami API — pozwala organizacjom tworzyć, testować, wdrażać oraz zabezpieczać API zarówno w chmurze, jak i w środowiskach lokalnych. Produkt jest wykorzystywany przez instytucje i firmy takie jak Axis Bank, Bankart, Etihad Airways, Finologee, IBS Bulgaria, State Bank of India, Tata Consultancy Services oraz TINE, co podkreśla wagę zaistniałej podatności z punktu widzenia środowisk produkcyjnych.
Do tej pory nie ma dowodów na to, że luka była wykorzystywana w atakach w środowisku produkcyjnym, jednak ze względu na wysoki poziom zagrożenia użytkownicy powinni jak najszybciej wdrożyć dostępne poprawki lub tymczasowe środki zaradcze, aby zabezpieczyć swoje instalacje.