A IBM recomendou que seus clientes apliquem um patch para corrigir uma vulnerabilidade crítica de bypass de autenticação em sua plataforma empresarial API Connect, que pode permitir acessos remotos não autorizados a aplicativos.
O API Connect é um gateway de API (Application Programming Interface) que permite às organizações desenvolver, testar e gerenciar APIs, além de controlar o acesso a serviços internos para aplicativos, parceiros comerciais e desenvolvedores externos.
Disponível em versões on-premises, na nuvem ou híbridas, o API Connect é usado por centenas de empresas dos setores financeiro, de saúde, varejo e telecomunicações.
Identificada como
CVE-2025-13915
, com severidade avaliada em 9,8/10, essa vulnerabilidade afeta as versões 10.0.11.0 e da 10.0.8.0 até a 10.0.8.5 do IBM API Connect.
A exploração bem-sucedida permite que agentes mal-intencionados não autenticados acessem remotamente aplicações expostas, burlando os mecanismos de autenticação por meio de ataques simples, sem necessidade de interação do usuário.
A IBM orientou os administradores a atualizarem as instalações vulneráveis para a versão mais recente, a fim de evitar possíveis ataques.
Para quem não puder aplicar o patch imediatamente, foram fornecidas medidas mitigatórias.
“O IBM API Connect pode permitir que um invasor remoto contorne os mecanismos de autenticação e obtenha acesso não autorizado ao aplicativo.
Recomendamos fortemente que essa vulnerabilidade seja corrigida o quanto antes por meio da atualização”, afirmou a empresa.
“Clientes que não puderem instalar a correção temporária devem desabilitar o auto cadastro no Developer Portal, caso esteja habilitado, para minimizar a exposição à falha.”
Instruções detalhadas sobre como aplicar o patch da
CVE-2025-13915
em ambientes VMware, OCP e Kubernetes estão disponíveis em documento de suporte oficial.
Nos últimos quatro anos, a agência americana Cybersecurity and Infrastructure Security Agency (CISA) incluiu diversas vulnerabilidades da IBM em seu catálogo de falhas conhecidas e ativamente exploradas, exigindo que órgãos federais garantissem a segurança dos seus sistemas conforme a Binding Operational Directive (BOD) 22-01.
Entre essas falhas estão a vulnerabilidade de execução remota de código no IBM Aspera Faspex (
CVE-2022-47986
) e uma falha de entrada inválida no IBM InfoSphere BigInsights (
CVE-2013-3993
), ambas associadas a ataques de ransomware, segundo a agência norte-americana.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...