IBMは、同社のAPI Connectプラットフォームに影響する重大な認証回避の脆弱性を公開し、CVSSの深刻度スコアとして最大の9.8を付与しました。
CVE-2025-13915として追跡されているこの欠陥は、ユーザー操作や特別な権限を必要とせずに悪用できる、主要な認証の弱点(CWE-305)に該当します。
この脆弱性は、IBM API Connectのバージョン10.0.8.0〜10.0.8.5、およびバージョン10.0.11.0に影響します。
| 項目 | 値 |
|---|---|
| CVE ID | CVE-2025-13915 |
| 脆弱性タイトル | IBM API Connect 認証回避 |
| CVSSバージョン | CVSS v3.1 |
| CVSS基本スコア | 9.8(重大) |
IBMのセキュリティアドバイザリによると、リモートの攻撃者はこの欠陥を悪用してプラットフォームの認証メカニズムを完全に回避し、資格情報なしで不正アクセスを得ることができます。
攻撃に必要なのはネットワーク接続のみで、複雑な設定やユーザーの協力は不要です。
API Connectは、APIを大規模に管理・公開する組織にとって重要なインフラコンポーネントとして機能します。
このプラットフォームは、APIトラフィックの認証、アクセス制御、セキュリティポリシーを処理します。この層で認証回避が発生すると、バックエンドシステム、機密データ、ビジネスロジックが不正アクセスにさらされる可能性があります。
IBM は、顧客に対し、修正済みバージョンへ直ちにアップグレードすることを強く推奨しています。API Connect 10.0.8のユーザー向けには、影響を受けるすべてのバージョン(10.0.8.1〜10.0.8.5)に対して暫定修正(iFix)が提供されています。
バージョン10.0.11のユーザーは、対応するセキュリティパッチを適用してください。詳細なアップグレード手順とダウンロードリンクは、IBMのサポートポータルで確認できます。
直ちにパッチを適用できない組織に対しては、IBMは、現在有効になっている場合、Developer Portalのセルフサービス登録機能を無効化することを推奨しています。
この緩和策は攻撃対象領域を制限することで露出を低減しますが、脆弱性を完全に排除するものではありません。
CVSSスコア9.8は、機密性・完全性・可用性の各面で全面的な侵害が起こり得ることを示しています。
セキュリティチームは、特に業務上重要なサービスを公開している本番環境のAPI Connect導入において、これを最優先の重大事項として扱うべきです。
影響を受けるバージョンを運用している組織は、IBM API Connectインスタンスの即時棚卸しを実施し、パッチ適用作業を優先してください。
重大性が高く悪用も容易であることから、この脆弱性は数週間ではなく数日以内に対処すべきです。セキュリティチームは、悪用の試行を示す可能性のある不審な認証パターンがないか、APIアクセスログも確認してください。
翻訳元: https://gbhackers.com/critical-ibm-api-connect-flaw/
