IBM修補可導致駭客存取系統的API重大漏洞

IBM上周發出安全公告，警告API元件存在一項可能讓駭客存取應用的重大資安漏洞，呼籲用戶儘速安裝更新。

編號CVE-2025-13915的漏洞存在API Connect，可讓遠端攻擊者繞過驗證機制存取應用。IBM API Connect為企業級API管理（API Management）平臺，提供API生命周期管理、負責驗證把關的API閘道及開發者入口網站（Developer Portal）。

這項漏洞CVSS風險值達9.8。在類型上，被列為「藉由主要弱點繞過身分驗證」。根據漏洞資料庫，這是指驗證演算法沒有問題，但實作可能因為別的弱點，導致驗證機制被繞過。

受到影響的API Connect版本包括V10.0.8.0-V10.0.8.5和V10.0.11.0。IBM已釋出iFix版本（即interim fix）修補漏洞。對於無法即時安裝iFix的用戶，IBM建議暫時緩解作法，停用開發人員入口網站的自助註冊（self-service sign-up）功能，減少攻擊者利用此漏洞來註冊或濫用入口的機會。