A IBM divulgou uma vulnerabilidade crítica em sua plataforma API Connect identificada como CVE 2025 13915 que permite a atacantes remotos burlar mecanismos de autenticação e acessar o sistema de forma não autorizada. Com pontuação CVSS de 9.8 essa falha representa um risco elevado para ambientes corporativos que utilizam o produto em escala. O API Connect é uma solução voltada para empresas que precisam criar gerenciar e proteger APIs sendo amplamente adotado por organizações que operam tanto em nuvem quanto em infraestrutura local.
A falha impacta versões específicas da plataforma permitindo que invasores obtenham controle completo da aplicação sem a necessidade de autenticação. A brecha pode ser explorada por agentes maliciosos para acessar APIs executar comandos e comprometer dados sensíveis principalmente em sistemas que ainda não aplicaram as correções necessárias. O problema está relacionado a uma falha nos controles de autenticação tornando o cenário ainda mais crítico em ambientes expostos à internet. Para mitigar os riscos a IBM disponibilizou um pacote de correção por meio da plataforma Fix Central com arquivos e instruções específicas para cada versão.
A empresa orienta que os administradores façam o download do patch apliquem as instruções contidas no arquivo Readme e realizem a atualização o quanto antes para garantir a proteção do ambiente. Nos casos em que não for possível aplicar o patch de forma imediata a IBM recomenda desativar a autoinscrição no portal do desenvolvedor funcionalidade que pode representar uma porta de entrada para ataques quando ativada em configurações públicas ou desprotegidas. Até o momento não há relatos de exploração ativa da vulnerabilidade porém especialistas alertam que falhas com esse nível de criticidade são rapidamente exploradas por agentes maliciosos após sua divulgação.
