آسیبپذیری موردنظر با شناسه CVE-2025-13915 ثبت شده و امتیاز ۹٫۸ از ۱۰ را در سیستم امتیازدهی CVSS دریافت کرده است. این نقص امنیتی به یک ضعف در مکانیزم احراز هویت در نسخههای 10.0.11.0 و همچنین 10.0.8.0 تا 10.0.8.5 از IBM API Connect مربوط میشود. در صورت سوءاستفاده، مهاجم میتواند بدون ارائه هیچگونه اعتبارنامهای به برنامههای در معرض دسترسی پیدا کند.
پلتفرم API Connect یکی از راهکارهای مدیریت و توسعه API است که برای محیطهای درونسازمانی (On-Premises)، ابری و هیبریدی مورد استفاده قرار میگیرد. طبق اعلام IBM، بهرهبرداری از این آسیبپذیری نیاز به هیچگونه تعامل کاربر ندارد و سطح پیچیدگی حمله نیز پایین ارزیابی شده است؛ موضوعی که ریسک سوءاستفاده گسترده را افزایش میدهد.
اقدام فوری الزامی است
IBM از تمامی مشتریان خود خواسته است در اسرع وقت نسبت به ارتقا به نسخههای اصلاحشده اقدام کنند. برای سازمانهایی که امکان اعمال فوری وصله امنیتی را ندارند، راهکارهای موقتی در نظر گرفته شده است. بهعنوان نمونه، IBM توصیه کرده در صورت فعال بودن قابلیت self-service sign-up در پورتال توسعهدهندگان (Developer Portal)، این قابلیت بهطور موقت غیرفعال شود تا سطح ریسک کاهش یابد.
راهنمای کامل اعمال اصلاحیهها برای محیطهای VMware، OpenShift (OCP) و Kubernetes نیز از سوی IBM منتشر شده و در اسناد پشتیبانی این شرکت در دسترس است.
الگوی نگرانکننده در امنیت محصولات IBM
در چهار سال گذشته، آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) چندین آسیبپذیری مرتبط با محصولات IBM را به فهرست «آسیبپذیریهای شناختهشده مورد سوءاستفاده» (Known Exploited Vulnerabilities) اضافه کرده است. این آسیبپذیریها بهعنوان تهدیدهای فعال شناسایی شدهاند و سازمانهای دولتی آمریکا ملزم به رفع آنها مطابق با دستورالعمل عملیاتی BOD 22-01 هستند.
دو مورد از این آسیبپذیریها حتی در حملات باجافزاری نیز مورد استفاده قرار گرفتهاند؛ از جمله یک نقص اجرای کد در IBM Aspera Faspex (CVE-2022-47986) و یک خطای ورودی نامعتبر در IBM InfoSphere BigInsights (CVE-2013-3993). این سوابق نشان میدهد که بهروزرسانی و ایمنسازی محصولات IBM همچنان یک ضرورت فوری برای سازمانها محسوب میشود.