IBM warns of critical API Connect auth bypass vulnerability
Mis à jour :
Vente critique dans IBM API Connect
Une faille de sécurité critique affectant IBM API Connect permettrait à des attaquants non authentifiés de contourner les mécanismes d’authentification et d’accéder à distance aux applications. Cette vulnérabilité, désignée CVE-2025-13915 et notée 9.8/10, concerne les versions 10.0.11.0 et 10.0.8.0 à 10.0.8.5 de la plateforme. L’exploitation est décrite comme étant de faible complexité et ne nécessitant pas d’interaction utilisateur.
Points clés :
- Produit affecté : IBM API Connect
- Type de vulnérabilité : Contournement d’authentification
- Impact : Accès non autorisé à distance aux applications
Vulnérabilité :
- CVE-2025-13915 : Permet à des acteurs malveillants non authentifiés de contourner les mécanismes d’authentification et d’obtenir un accès non autorisé aux applications exposées.
Recommandations :
- Mise à jour immédiate : Les administrateurs sont fortement encouragés à mettre à jour leurs installations vulnérables vers la dernière version disponible.
- Mesure palliative : Si la mise à jour immédiate n’est pas possible, il est recommandé de désactiver la fonction d’inscription en libre-service sur le portail développeur si elle est activée, afin de minimiser l’exposition.
Des instructions détaillées pour appliquer le correctif dans divers environnements (VMware, OCP, Kubernetes) sont disponibles dans la documentation de support d’IBM.