A IBM publicou um alerta de segurança detalhando uma vulnerabilidade crítica em sua plataforma API Connect que pode permitir a invasores obter acesso remoto não autorizado ao aplicativo.
Catalogada como CVE-2025-13915, a falha recebeu pontuação 9,8 de 10 no sistema CVSS, sendo classificada como um problema grave de bypass de autenticação. Segundo a empresa, a vulnerabilidade possibilita que um atacante remoto contorne os mecanismos de verificação de identidade e acesse o sistema sem permissão.
“O IBM API Connect pode permitir que um invasor remoto ignore os controles de autenticação e obtenha acesso não autorizado à aplicação”, informou a companhia em comunicado oficial.
O problema afeta as seguintes versões do IBM API Connect:
-
10.0.8.0 até 10.0.8.5
-
10.0.11.0
Como medida de mitigação, a IBM orienta que os clientes realizem a instalação da correção disponibilizada no Fix Central, seguindo os passos recomendados no arquivo Readme.md e aplicando o pacote ibm-apiconnect-<versão>-ifix.13195.tar.gz de acordo com a versão utilizada da plataforma.
Para organizações que não conseguirem aplicar imediatamente a correção provisória, a empresa recomenda desativar a funcionalidade de cadastro de autoatendimento no Portal do Desenvolvedor, caso esteja habilitada, a fim de reduzir a superfície de exposição ao risco.
O IBM API Connect é uma solução completa para criação, teste, gerenciamento e proteção de APIs, utilizada tanto em ambientes de nuvem quanto em infraestruturas locais. A plataforma é adotada por grandes organizações, como Axis Bank, State Bank of India, Etihad Airways, Tata Consultancy Services e outras empresas globais.
Apesar de não haver, até o momento, indícios de exploração ativa da vulnerabilidade, a IBM reforça a importância de aplicar as atualizações o quanto antes para garantir a segurança dos sistemas.
Fonte: The Hacker News
