IBM API Connect violabile senza credenziali: CVE critica da 9.8 scuote le aziende

cybersecurity@poliverso.org

IBM API Connect violabile senza credenziali: CVE critica da 9.8 scuote le aziende

IBM ha emesso un avviso di sicurezza urgente per gli utenti della sua piattaforma API Connect dopo che test interni hanno scoperto una falla di sicurezza che potrebbe esporre le applicazioni aziendali a intrusioni. La falla , identificata come CVE-2025-13915, è classificata come bypass di autenticazione.

IBM ha assegnato alla vulnerabilità un punteggio base CVSS di 9,8, classificandola come critica. Un’analisi del vettore di minaccia rivela il motivo di questo punteggio così elevato. La vulnerabilità , consente ad aggressori remoti di eludere i meccanismi di autenticazione senza bisogno di una password.

Secondo l’ avviso, la falla “potrebbe consentire a un aggressore remoto di aggirare i meccanismi di autenticazione e ottenere accesso non autorizzato all’applicazione”.

La vulnerabilità riguarda versioni specifiche della suite IBM API Connect. Si consiglia agli amministratori di verificare le proprie distribuzioni per le seguenti versioni:

• API Connect V10.0.8.0 tramite V10.0.8.5
• API Connect V10.0.11.0

IBM “raccomanda vivamente di risolvere la vulnerabilità ora tramite l’aggiornamento”. Il fornitore ha rilasciato correzioni provvisorie (iFix) per le versioni interessate, tra cui patch per la versione 10.0.8.x e la versione 10.0.11.

Per le organizzazioni che non possono disattivare immediatamente i sistemi per applicare la patch, IBM ha offerto una mitigazione temporanea.

Gli amministratori possono “disabilitare la registrazione self-service sul proprio Portale Sviluppatori, se abilitata”, il che, come sottolinea IBM, “aiuterà a ridurre al minimo l’esposizione a questa vulnerabilità” fino all’applicazione di una correzione permanente.

L'articolo IBM API Connect violabile senza credenziali: CVE critica da 9.8 scuote le aziende proviene da Red Hot Cyber.