IBM đã công bố chi tiết về một lỗ hổng bảo mật nghiêm trọng trong API Connect, có thể cho phép kẻ tấn công giành quyền truy cập từ xa vào ứng dụng.
Lỗ hổng, được theo dõi với mã CVE-2025-13915, được đánh giá 9.8 trên thang điểm CVSS tối đa 10.0. Nó được mô tả là một lỗ hổng authentication bypass.
"IBM API Connect có thể cho phép kẻ tấn công từ xa bỏ qua các cơ chế xác thực và giành quyền truy cập trái phép vào ứng dụng," gã khổng lồ công nghệ cho biết trong một bản tin.
Phiên bản bị ảnh hưởng
Lỗ hổng này ảnh hưởng đến các phiên bản IBM API Connect sau:
- 10.0.8.0 đến 10.0.8.5
- 10.0.11.0
Biện pháp khắc phục
Khách hàng được khuyến nghị thực hiện các bước sau:
- Tải bản vá từ Fix Central
- Giải nén các tệp: Readme.md và ibm-apiconnect-<version>-ifix.13195.tar.gz
- Áp dụng bản vá dựa trên phiên bản API Connect phù hợp
Công ty cho biết thêm: "Khách hàng không thể cài đặt bản vá tạm thời nên tắt tính năng tự đăng ký trên Developer Portal nếu đang bật, điều này sẽ giúp giảm thiểu mức độ phơi nhiễm với lỗ hổng này."
API Connect là một giải pháp API end-to-end cho phép các tổ chức tạo, kiểm thử, quản lý và bảo mật các API đặt trên cloud và on-premises. Nó được sử dụng bởi các công ty như Axis Bank, Bankart, Etihad Airways, Finologee, IBS Bulgaria, State Bank of India, Tata Consultancy Services và TINE.
Mặc dù hiện chưa có bằng chứng nào cho thấy lỗ hổng này đang bị khai thác (exploited) trong thực tế, người dùng vẫn nên áp dụng các bản vá càng sớm càng tốt để được bảo vệ tối ưu.
