IBM API严重漏洞可导致登录遭绕过

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

IBM紧急发布API Connect 平台告警称，内部测试发现一个可能导致企业应用遭完全暴露的严重漏洞CVE-2025-13915，CVSS评分9.8，远程攻击者无需密码即可直接绕过身份验证机制，被归类为"主要弱点导致的身份验证绕过"。

安全公告提到，该漏洞"可能导致远程攻击者绕过身份验证机制，越权访问应用程序"。

该漏洞评分接近满分的原因可从威胁向量看出：

• 网络可遭利用 (AV:N)：攻击可通过互联网远程发起

• 低复杂性 (AC:L)：攻击无需复杂条件即可执行

• 无需权限 (PR:N)：攻击者无需预先拥有账户或权限

• 无需用户交互 (UI:N)：无需诱骗用户点击链接或执行操作即可成功

该漏洞影响IBM API Connect套件的特定版本。管理员应尽快检查部署是否使用以下版本：

• API Connect V10.0.8.0 至 V10.0.8.5

• API Connect V10.0.11.0

IBM "强烈建议立即通过升级解决该漏洞"。供应商已为受影响版本范围发布临时修复程序（iFixes），包括10.0.8.x分支和10.0.11版本的补丁。如无法立即离线系统打补丁，IBM提供了临时缓解措施，提到管理员可"在其开发者门户上禁用自助注册功能（如已启用），减少暴露于该漏洞的风险"。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

IBM内部邮件曝其云API使用不安全的TLS1协议

IBM Cloud 漏洞可用于发动供应链攻击

IBM修复MQ消息队列中间件中的严重漏洞

IBM：五分之一的数据泄露事件由软件供应链受陷造成

第三方XML解析器Expat有多个严重漏洞，IBM、Linux等纷纷打补丁

原文链接

https://securityonline.info/cve-2025-13915-critical-9-8-flaw-in-ibm-api-connect-lets-attackers-bypass-login/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “在看” 或 "赞” 吧~