文章总结： IBMAPIConnect存在严重身份验证绕过漏洞CVE-2025-13915，CVSS评分9.8，允许远程无认证攻击者接管应用。漏洞影响特定V10版本，攻击门槛低。IBM已发布临时修复补丁，建议管理员立即升级，或在无法修复时禁用开发者门户自助注册功能以降低风险。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,应用安全

IBM API严重漏洞可导致登录遭绕过

Ddos

代码卫士

2025年12月30日 18:10 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

IBM紧急发布API Connect 平台告警称，内部测试发现一个可能导致企业应用遭完全暴露的严重漏洞CVE-2025-13915，CVSS评分9.8，远程攻击者无需密码即可直接绕过身份验证机制，被归类为”主要弱点导致的身份验证绕过”。

安全公告提到，该漏洞”可能导致远程攻击者绕过身份验证机制，越权访问应用程序”。

该漏洞评分接近满分的原因可从威胁向量看出：

• 网络可遭利用 (AV:N)：攻击可通过互联网远程发起
• 低复杂性 (AC:L)：攻击无需复杂条件即可执行
• 无需权限 (PR:N)：攻击者无需预先拥有账户或权限
• 无需用户交互 (UI:N)：无需诱骗用户点击链接或执行操作即可成功

该漏洞影响IBM API Connect套件的特定版本。管理员应尽快检查部署是否使用以下版本：

• API Connect V10.0.8.0 至 V10.0.8.5
• API Connect V10.0.11.0

IBM “强烈建议立即通过升级解决该漏洞”。供应商已为受影响版本范围发布临时修复程序（iFixes），包括10.0.8.x分支和10.0.11版本的补丁。如无法立即离线系统打补丁，IBM提供了临时缓解措施，提到管理员可”在其开发者门户上禁用自助注册功能（如已启用），减少暴露于该漏洞的风险”。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

IBM内部邮件曝其云API使用不安全的TLS1协议

IBM Cloud 漏洞可用于发动供应链攻击

IBM修复MQ消息队列中间件中的严重漏洞

IBM：五分之一的数据泄露事件由软件供应链受陷造成

第三方XML解析器Expat有多个严重漏洞，IBM、Linux等纷纷打补丁

原文链接

CVE-2025-13915: Critical 9.8 Flaw in IBM API Connect Lets Attackers Bypass Login

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ddos《IBM API严重漏洞可导致登录遭绕过》