IBM API Connect violabile senza credenziali: CVE critica da 9.8 scuote le aziende

IBM ha emesso un avviso di sicurezza urgente per gli utenti della sua piattaforma API Connect dopo che test interni hanno scoperto una falla di sicurezza che potrebbe esporre le applicazioni aziendali a intrusioni. La falla , identificata come CVE-2025-13915, è classificata come bypass di autenticazione.

IBM ha assegnato alla vulnerabilità un punteggio base CVSS di 9,8, classificandola come critica. Un’analisi del vettore di minaccia rivela il motivo di questo punteggio così elevato. La vulnerabilità , consente ad aggressori remoti di eludere i meccanismi di autenticazione senza bisogno di una password.

Secondo l’ avviso, la falla “potrebbe consentire a un aggressore remoto di aggirare i meccanismi di autenticazione e ottenere accesso non autorizzato all’applicazione”.

La vulnerabilità riguarda versioni specifiche della suite IBM API Connect. Si consiglia agli amministratori di verificare le proprie distribuzioni per le seguenti versioni:

• API Connect V10.0.8.0 tramite V10.0.8.5
• API Connect V10.0.11.0

IBM “raccomanda vivamente di risolvere la vulnerabilità ora tramite l’aggiornamento”. Il fornitore ha rilasciato correzioni provvisorie (iFix) per le versioni interessate, tra cui patch per la versione 10.0.8.x e la versione 10.0.11.

Per le organizzazioni che non possono disattivare immediatamente i sistemi per applicare la patch, IBM ha offerto una mitigazione temporanea.

Gli amministratori possono “disabilitare la registrazione self-service sul proprio Portale Sviluppatori, se abilitata”, il che, come sottolinea IBM, “aiuterà a ridurre al minimo l’esposizione a questa vulnerabilità” fino all’applicazione di una correzione permanente.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks