Μια κρίσιμη ειδοποίηση ασφαλείας σχετικά με μια σοβαρή ευπάθεια στην πλατφόρμα IBM API Connect που θα μπορούσε να επιτρέψει στους απομακρυσμένους εισβολείς να παρακάμψουν μηχανισμούς ελέγχου ταυτότητας.
Ανακαλύφθηκε κατά τη διάρκεια εσωτερικών δοκιμών, το ελάττωμα ενέχει σημαντικό κίνδυνο για οργανισμούς που βασίζονται στην πλατφόρμα για τη διαχείριση API. Παραχωρεί σε μη εξουσιοδοτημένους φορείς πρόσβαση στην εφαρμογή χωρίς να απαιτούνται έγκυρα διαπιστευτήρια.
Στην ευπάθεια, η οποία παρακολουθείται ως CVE-2025-13915, έχει εκχωρηθεί μια κρίσιμη βασική βαθμολογία CVSS 9,8 στα 10. Αυτή η σχεδόν μέγιστη βαθμολογία αντικατοπτρίζει την ευκολία εκμετάλλευσης και τον υψηλό αντίκτυπο στην εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα.
Το ελάττωμα ταξινομείται στο CWE-305, το οποίο αναφέρεται σε μια “Παράκαμψη ελέγχου ταυτότητας από την κύρια αδυναμία”. Σύμφωνα με την συμβουλευτική, το ζήτημα επιτρέπει σε έναν απομακρυσμένο εισβολέα να παρακάμψει πλήρως τη διαδικασία σύνδεσης.
Επειδή το διάνυσμα επίθεσης βασίζεται σε δίκτυο (AV: N) και δεν απαιτεί ειδικά προνόμια (PR: N) ή αλληλεπίδραση με τον χρήστη (UI: N), ο κίνδυνος αυτοματοποιημένης ή εκτεταμένης εκμετάλλευσης είναι υψηλός.
Η ευπάθεια επηρεάζει συγκεκριμένες εκδόσεις του IBM API Connect. Οι διαχειριστές καλούνται να ελέγξουν τις αναπτύξεις τους για τις ακόλουθες εκδόσεις:
| Προϊόν | Εκδόσεις που επηρεάζονται |
|---|---|
| IBM API Connect V10.0.8 | Εκδόσεις 10.0.8.0 έως 10.0.8.5 |
| IBM API Connect V10.0.11 | Έκδοση 10.0.11.0 |
Η IBM συνιστά ανεπιφύλακτα σε όλους τους πελάτες που επηρεάζονται να αναβαθμίσουν αμέσως τις ενημερωμένες εκδόσεις. Η εταιρεία έχει κυκλοφορήσει iFixes για τις επηρεαζόμενες σειρές εκδόσεων.
| Έκδοση προϊόντος | Διορθώστε τη διαθεσιμότητα |
|---|---|
| IBM API Connect V10.0.8 | Διαθέσιμες ενημερώσεις κώδικα για τις εκδόσεις 10.0.8.1 έως 10.0.8.5 |
| IBM API Connect V10.0.11 | Το iFix διαθέσιμο για την έκδοση 10.0.11 |
Για οργανισμούς που δεν μπορούν να εφαρμόσουν αμέσως την ενημέρωση κώδικα, η IBM έχει παρέχεται ένα προσωρινό μετριασμό. Οι διαχειριστές θα πρέπει να απενεργοποιήσουν την εγγραφή αυτοεξυπηρέτησης στην Πύλη προγραμματιστή τους, εάν είναι ενεργοποιημένη αυτήν τη στιγμή.
Αν και αυτό δεν διορθώνει το υποκείμενο ελάττωμα του κώδικα, βοηθά στην ελαχιστοποίηση της επιφάνειας επίθεσης και μειώνει την έκθεση σε αυτήν τη συγκεκριμένη ευπάθεια μέχρι να μπορέσει να αναπτυχθεί η μόνιμη επιδιόρθωση.
