CRITICAL🇬🇧 English

CVE-2025-13915

IBM API Connect — obejście mechanizmów uwierzytelniania (Auth Bypass)

CVSS 9.8v3.1pub. 2025-12-26upd. 2025-12-31

Podatność w IBM API Connect pozwala zdalnemu atakującemu na obejście mechanizmów uwierzytelniania i uzyskanie nieautoryzowanego dostępu do aplikacji. Ocena CVSS 9.8 (CRITICAL) wskazuje na wyjątkowo wysokie ryzyko, gdyż exploit nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

IBM API Connect 10.0.8.0 through 10.0.8.5, and 10.0.11.0 could allow a remote attacker to bypass authentication mechanisms and gain unauthorized access to the application.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-305 (Authentication Bypass by Primary Weakness) oznacza, że w implementacji procesu uwierzytelniania istnieje luka pozwalająca na jego ominięcie bez posiadania prawidłowych poświadczeń. Atakujący może wysłać spreparowane żądanie sieciowe do podatnego systemu i uzyskać dostęp do aplikacji z pominięciem wymaganego logowania. Atak jest możliwy zdalnie przez sieć, bez konieczności posiadania jakichkolwiek uprawnień w systemie.

Skutki

Pomyślne wykorzystanie podatności umożliwia atakującemu uzyskanie nieautoryzowanego dostępu do aplikacji IBM API Connect, co może prowadzić do pełnego naruszenia poufności, integralności i dostępności zarządzanych zasobów oraz interfejsów API.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje i łatki dostępne są pod adresem: https://www.ibm.com/support/pages/node/7255149

Kogo dotyczy

IBM API Connect w wersjach od 10.0.8.0 do 10.0.8.5 oraz wersja 10.0.11.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • IBM Api Connect

    APP
    Ibm
    10.0.11.010.0.8.0 – 10.0.8.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2021-29772CRITICAL9.8ten sam produkt

IBM API Connect 5.0.0.0 through 5.0.8.11 could allow a user to potentially inject code due to unsanitized user...

CVE-2021-29715CRITICAL9.1ten sam produkt

IBM API Connect 5.0.0.0 through 5.0.8.11 could alllow a remote user to obtain sensitive information or conduct...

CVE-2020-4899CRITICAL9.1ten sam produkt

IBM API Connect 5.0.0.0 through 5.0.8.10 could potentially leak sensitive information or allow for data corrup...

CVE-2019-4203CRITICAL9.8ten sam produkt

IBM API Connect 5.0.0.0 and 5.0.8.6 Developer Portal can be exploited by app developers to download arbitrary ...

CVE-2019-4202CRITICAL10.0ten sam produkt

IBM API Connect 5.0.0.0 and 5.0.8.6 Developer Portal is vulnerable to command injection. An attacker with a sp...

CVE-2025-13915 — IBM API Connect — obejście mechanizmów uwierzytelniania (Auth Bypass) — CRITICAL 9.8 | CVEbaza.pl