Критическая уязвимость в IBM API Connect с рейтингом 9.8 угрожает безопасности глобальных корпораций

Компания IBM выпустила экстренное предупреждение о наличии критической ошибки в своем решении API Connect. Обнаруженной уязвимости присвоен идентификатор CVE-2025-13915. Согласно системе оценки CVSS, данной проблеме присвоено 9.8 баллов из максимально возможных 10.0, что свидетельствует о чрезвычайном уровне угрозы для безопасности информационных систем.
Критическая уязвимость в IBM API Connect с рейтингом 9.8 угрожает безопасности глобальных корпораций
Изображение носит иллюстративный характер

Выявленный дефект классифицируется как критический обход аутентификации. Техническая природа угрозы позволяет удаленному злоумышленнику игнорировать существующие механизмы проверки подлинности и получать несанкционированный доступ к приложению. Несмотря на серьезность ситуации, на текущий момент доказательств реальной эксплуатации данной уязвимости хакерами не обнаружено.

Проблема затрагивает широкий диапазон версий программного обеспечения. В зоне риска находятся сборки с 0.8.0 по 10.0.8.5 включительно. Организациям, использующим указанные версии в своей инфраструктуре, необходимо оперативно провести аудит безопасности и подготовиться к обновлению систем.

В качестве основного решения проблемы вендор предлагает применить промежуточное исправление, соответствующее конкретной версии установленного продукта. В технической документации, сопровождающей обновление, фигурируют файлы 10.0.11.md и архивы формата ibm-apiconnect-<version>-ifix.13195.tar.gz, содержащие необходимый программный код для устранения бреши.

Для ситуаций, когда немедленная установка патча технически невозможна, предусмотрен временный обходной путь для минимизации рисков. Администраторам систем рекомендуется отключить функцию самостоятельной регистрации (self-service sign-up) на портале разработчика (Developer Portal), если она была активирована. Специалисты настоятельно советуют не ограничиваться полумерами и применить официальные исправления как можно скорее.

IBM API Connect является комплексным решением для полного жизненного цикла интерфейсов прикладного программирования (API). Платформа предоставляет инструментарий для создания, тестирования, управления и защиты API, поддерживая развертывание как в облачных средах, так и на локальных серверах (on-premises). Безопасность этого продукта критична для целостности данных многих крупных предприятий.

Список известных клиентов и пользователей решения подчеркивает масштаб потенциального воздействия уязвимости. Среди организаций, использующих данную технологию, числятся такие гиганты, как Axis Bank, Bankart, авиакомпания Etihad Airways, финтех-компания Finologee, IBS Bulgaria, State Bank of India, Tata Consultancy Services и TINE. Учитывая профиль этих компаний, любые задержки в обновлении безопасности могут привести к серьезным последствиям.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка