أعلنت شركة IBM عن وجود ثغرة أمنية بالغة الخطورة في منصة API Connect، تحمل الرمز CVE-2025-13915، وتقييم CVSS 9.8 من 10، ما يجعلها من أخطر الفئات. الثغرة وُصفت بأنها تجاوز للمصادقة (Authentication Bypass)، حيث يمكن للمهاجمين استغلالها للوصول غير المصرح به إلى التطبيق عن بُعد.
تؤثر الثغرة على الإصدارات التالية:
- 10.0.8.0 حتى 10.0.8.5
- 10.0.11.0
خطوات الحماية الموصى بها
أوصت الشركة عملاءها باتباع الإجراءات التالية:
- تنزيل الإصلاح من Fix Central.
- استخراج الملفات: Readme.md و ibm-apiconnect-<version>-ifix.13195.tar.gz.
- تطبيق الإصلاح وفقاً للإصدار المناسب من API Connect.
وأضافت الشركة أن العملاء غير القادرين على تثبيت الإصلاح المؤقت يجب أن يقوموا بتعطيل خاصية التسجيل الذاتي (Self-service sign-up) في بوابة المطورين لتقليل التعرض للمخاطر.
أهمية منصة API Connect
تُعد API Connect حلاً متكاملاً لإدارة واجهات برمجة التطبيقات، حيث تتيح للمؤسسات إنشاء واختبار وإدارة وتأمين واجهاتها سواء على السحابة أو في بيئات داخلية. من أبرز المؤسسات التي تعتمد عليها:
- Axis Bank
- Bankart
- Etihad Airways
- Finologee
- IBS Bulgaria
- State Bank of India
- Tata Consultancy Services
- TINE
الوضع الحالي والتوصيات
حتى الآن لا توجد أدلة على استغلال الثغرة في هجمات فعلية، لكن IBM شددت على ضرورة الإسراع في تطبيق الإصلاحات لضمان الحماية المثلى، خاصة أن الثغرة تسمح بالوصول غير المصرح به إلى أنظمة حساسة قد تحتوي على بيانات بالغة الأهمية.
