Een kritieke kwetsbaarheid in IBM’s API Connect-platform stelt hackers in staat om toegang te krijgen tot applicaties.
IBM waarschuwt klanten voor een ernstige beveiligingskwetsbaarheid in zijn API Connect-platform. Die kan aanvallers in staat stellen om zonder authenticatie toegang te krijgen tot applicaties.
Authenticatie kan volledig worden omzeild
De kwetsbaarheid CVE-2025-13915 heeft een CVSS-score van 9,8 op 10 en treft IBM API Connect-versies 10.0.11.0 en 10.0.8.0 tot en met 10.0.8.5. API Connect fungeert als API-gateway en wordt door honderden bedrijven gebruikt in sectoren zoals banken, gezondheidszorg, retail en telecom.
Bij succesvolle exploitatie kan een aanvaller zonder geldige inloggegevens applicaties krijgen die via API Connect zijn blootgesteld. De aanval is laagdrempelig, vereist geen gebruikersinteractie en kan volledig op afstand worden uitgevoerd.
Zo snel mogelijk updaten
IBM roept beheerders op om kwetsbare installaties zo snel mogelijk te upgraden naar de nieuwste versie om misbruik te voorkomen. Voor bedrijven die de patch niet onmiddellijk kunnen toepassen, raadt IBM aan om self-service sign-up in het Developer Portal uit te schakelen.
“IBM API Connect kan een externe aanvaller toelaten om authenticatie te omzeilen en ongeautoriseerde toegang te verkrijgen,” aldus IBM in een beveiligingsadvies. “We raden klanten sterk aan om deze kwetsbaarheid onmiddellijk aan te pakken door te upgraden.”