IBM修补可导致黑客访问系统的API重大漏洞

IBM上周发出安全公告，警告API组件存在一项可能让黑客访问应用的重大安全漏洞，呼吁用户尽快安装更新。

编号CVE-2025-13915的漏洞存在API Connect，可让远程攻击者绕过验证机制访问应用。IBM API Connect为企业级API管理（API Management）平台，提供API生命周期管理、负责验证把关的API网关及开发者门户网站（Developer Portal）。

这项漏洞CVSS风险值达9.8。在类型上，被列为“借由主要弱点绕过身份验证”。根据漏洞数据库，这是指验证算法没有问题，但实例可能因为别的弱点，导致验证机制被绕过。

受到影响的API Connect版本包括V10.0.8.0-V10.0.8.5和V10.0.11.0。IBM已发布iFix版本（即interim fix）修补漏洞。对于无法即时安装iFix的用户，IBM建议暂时缓解做法，停用开发人员门户网站的自助注册（self-service sign-up）功能，减少攻击者利用此漏洞来注册或滥用入口的机会。