【安全资讯】IBM警告API Connect存在严重身份验证绕过漏洞

概要：

在数字化转型浪潮中，API（应用程序编程接口）已成为企业内外服务交互的核心枢纽。IBM近日对其企业级API管理平台API Connect发出紧急安全警告，披露了一个被评定为9.8分（满分10分）的严重身份验证绕过漏洞。该漏洞可能使攻击者无需认证即可远程访问受保护的应用程序，对广泛采用该平台的金融、医疗、零售和电信等行业构成重大威胁。

主要内容：

该漏洞编号为CVE-2025-13915，影响IBM API Connect版本10.0.11.0以及10.0.8.0至10.0.8.5。其核心问题在于身份验证机制存在缺陷，攻击者能够利用低复杂度攻击绕过认证，无需用户交互即可获得对暴露应用程序的未授权远程访问权限。这为数据窃取、服务滥用等恶意活动打开了大门。

IBM已敦促管理员立即将受影响的安装升级至最新版本以阻断潜在攻击。对于无法立即部署安全更新的用户，IBM提供了临时缓解措施，建议禁用其开发者门户上的自助服务注册功能，以最小化暴露风险。官方支持文档中提供了在VMware、OCP和Kubernetes环境中应用补丁的详细说明。

值得注意的是，美国网络安全和基础设施安全局（CISA）在过去四年中已将多个IBM安全漏洞列入其已知被利用漏洞目录。其中，IBM Aspera Faspex的代码执行漏洞（CVE-2022-47986）和IBM InfoSphere BigInsights的无效输入漏洞（CVE-2013-3993）已被标记为在勒索软件攻击中被利用。此次API Connect的高危漏洞若被广泛利用，可能对依赖API进行关键业务集成的数百家企业造成严重运营中断与数据泄露风险。