Thought Leadership
IBM hat Administratoren zur umgehenden Installation von Sicherheitsupdates für die Unternehmensplattform API Connect aufgerufen. Eine kritische Schwachstelle erlaubt Angreifern den Zugriff auf Anwendungen ohne vorherige Authentifizierung.
Zentrale Infrastrukturkomponente im Visier
API Connect dient Unternehmen als Gateway für die Verwaltung von Programmierschnittstellen. Über die Plattform lassen sich APIs entwickeln, testen und verwalten sowie der kontrollierte Zugang zu internen Services für Anwendungen und externe Partner organisieren. Das System kommt sowohl vor Ort als auch in Cloud- und Hybrid-Umgebungen zum Einsatz. Zu den Nutzern zählen zahlreiche Organisationen aus Finanzwirtschaft, Gesundheitssektor, Handel und Telekommunikation.
Kritische Einstufung der Sicherheitslücke
Die Schwachstelle trägt die Kennung CVE-2025-13915 und erreicht im CVSS-Bewertungssystem 9,8 von maximal 10 Punkten. Die Versionen 10.0.11.0 sowie der Bereich von 10.0.8.0 bis 10.0.8.5 sind verwundbar.
Angreifer können die Lücke ohne bestehende Zugangsdaten ausnutzen und sich über das Netzwerk Zugang zu den geschützten Anwendungen verschaffen. Die Attacke erfordert weder komplexe Vorbereitungen noch Mithilfe von Nutzern.
Patch-Bereitstellung und Übergangslösungen
IBM stellt Aktualisierungen bereit und rät dringend zur Installation. Für Umgebungen, in denen sich Updates nicht unmittelbar einspielen lassen, nennt der Hersteller eine alternative Schutzmaßnahme: Die Deaktivierung der Selbstregistrierungsfunktion im Developer Portal reduziert die Angriffsfläche erheblich.
In einem Support-Dokument finden Administratoren spezifische Anweisungen für das Patch-Management in VMware-, OpenShift- und Kubernetes-Installationen.
