Vulnerabilità critica in IBM API Connect: possibile superare l’autenticazione e accedere alle applicazioni

IBM ha rilasciato un avviso di sicurezza per una vulnerabilità critica nel suo prodotto API Connect, una piattaforma di gestione e distribuzione di Application Programming Interfaces (API) utilizzata da molte organizzazioni per creare, proteggere e gestire API distribuite on-premises e in cloud. 

La falla, identificata come CVE-2025-13915, è classificata con un punteggio CVSS di 9.8/10, collocandosi nella categoria di criticità elevata. Si tratta di un difetto di bypass dell’autenticazione che potrebbe permettere a un attaccante remoto di ottenere accesso non autorizzato all’applicazione senza richiedere credenziali valide né interazione dell’utente. 

Il problema interessa le seguenti versioni di IBM API Connect:

• Versioni 10.0.8.0 – 10.0.8.5
• Versione 10.0.11.0 

Secondo IBM, un malintenzionato potrebbe sfruttare questa vulnerabilità sfruttando una debolezza nei meccanismi di autenticazione della piattaforma per accedere in modo diretto ad applicazioni e servizi gestiti tramite API Connect. 

Non è stata finora confermata l’esistenza di exploit attivi in natura, ma la semplicità di potenziale sfruttamento rende urgente l’applicazione delle correzioni di sicurezza. 

Raccomandazioni di sicurezza

• Applicare immediatamente gli aggiornamenti ufficiali rilasciati da IBM per le versioni affette.
• Per chi non può aggiornare subito, disabilitare la registrazione self-service sul Developer Portal per ridurre l’esposizione alla vulnerabilità. 
• Monitorare l’infrastruttura per attività sospette sulle API esposte, con particolare attenzione a tentativi di accesso non autorizzato.
• Considerare l’uso di meccanismi aggiuntivi di controllo degli accessi e segmentazione delle API per limitare i rischi in ambienti esposti.

SOC