IBM 針對 API Connect 平台用戶發出嚴重安全警告,指出平台存在重大漏洞,可能讓未授權人士遠端存取應用程式。該公司呼籲客戶立即套用安全更新,降低遭攻擊風險。
API Connect 是企業級平台,協助組織建立、管理及保護應用程式介面(API)。API 如同數位連接器,讓不同軟體系統能夠安全通訊。由於這些介面經常將內部服務開放給外部應用程式、商業夥伴及開發人員,在現代數位營運中扮演關鍵角色。
IBM API Connect 可部署於多種環境,包括地端基礎架構、雲端系統及混合架構。憑藉這項彈性,該平台廣泛應用於銀行、醫療、零售及電信等需要安全資料交換的產業。
漏洞編號 CVE-2025-13915,嚴重性評分高達 9.8
此漏洞被識別為
CVE-2025-13915,嚴重性評分為 9.8 分(滿分 10 分),屬於最高風險等級。根據 IBM 說明,
該漏洞影響 API Connect 10.0.11.0 版本及 10.0.8.0 至 10.0.8.5 版本。
問題核心在於平台的身分驗證機制存在弱點。在特定條件下,攻擊者可完全繞過登入檢查,無需提供有效憑證即可存取暴露的應用程式。此攻擊不需要高深技術能力,也無需與合法使用者互動,潛在風險極高。
若漏洞遭成功利用,攻擊者可能接觸到以 API Connect 為閘道的應用程式,導致敏感系統和資料曝光。由於 API 負責連接後端服務,這類未授權存取可能引發嚴重的營運及資安風險。
IBM 提供修補程式及暫時緩解措施
IBM 已釋出修正此漏洞的更新版本,強烈建議管理員儘快升級受影響系統。對於無法立即部署更新的組織,IBM 提供暫時性緩解步驟,其中一項關鍵建議是
停用開發者入口網站的自助註冊功能,可在完整修補前降低曝險程度。
該公司也針對 VMware、OpenShift Container Platform 及 Kubernetes 等不同部署環境,提供詳細的更新安裝指引。
雖然 IBM 尚未證實此漏洞遭實際利用,但美國網路安全當局先前已將多個 IBM 相關漏洞標記為遭攻擊利用。近年來,數個 IBM 漏洞被納入美國網路安全暨基礎設施安全局(CISA)的已知遭利用漏洞清單,要求聯邦機構依據第 22-01 號約束性作業指令保護受影響系統。
資安專家建議
資安專家建議使用 API Connect 的組織應採取以下措施:
隨著 API 持續作為數位服務的核心基礎,維持強大的身分驗證控制對降低網路風險至關重要。
本文轉載自 CySecurityNews。