聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
IBM紧急发布API Connect 平台告警称,内部测试发现一个可能导致企业应用遭完全暴露的严重漏洞CVE-2025-13915,CVSS评分9.8,远程攻击者无需密码即可直接绕过身份验证机制,被归类为"主要弱点导致的身份验证绕过"。
安全公告提到,该漏洞"可能导致远程攻击者绕过身份验证机制,越权访问应用程序"。
该漏洞评分接近满分的原因可从威胁向量看出:
网络可遭利用 (AV:N):攻击可通过互联网远程发起
低复杂性 (AC:L):攻击无需复杂条件即可执行
无需权限 (PR:N):攻击者无需预先拥有账户或权限
无需用户交互 (UI:N):无需诱骗用户点击链接或执行操作即可成功
该漏洞影响IBM API Connect套件的特定版本。管理员应尽快检查部署是否使用以下版本:
API Connect V10.0.8.0 至 V10.0.8.5
API Connect V10.0.11.0
IBM "强烈建议立即通过升级解决该漏洞"。供应商已为受影响版本范围发布临时修复程序(iFixes),包括10.0.8.x分支和10.0.11版本的补丁。如无法立即离线系统打补丁,IBM提供了临时缓解措施,提到管理员可"在其开发者门户上禁用自助注册功能(如已启用),减少暴露于该漏洞的风险"。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
IBM内部邮件曝其云API使用不安全的TLS1协议
IBM Cloud 漏洞可用于发动供应链攻击
IBM修复MQ消息队列中间件中的严重漏洞
IBM:五分之一的数据泄露事件由软件供应链受陷造成
第三方XML解析器Expat有多个严重漏洞,IBM、Linux等纷纷打补丁
原文链接
https://securityonline.info/cve-2025-13915-critical-9-8-flaw-in-ibm-api-connect-lets-attackers-bypass-login/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~