IBM API Connect关键漏洞可导致身份验证绕过

IBM正敦促客户尽快修补其API Connect平台中的一个关键漏洞，该漏洞可能允许远程攻击者绕过身份验证。

IBM将API Connect描述为一个完整生命周期的应用程序编程接口网关，用于"创建、测试、管理、保护、分析和社交化API"。该公司特别宣传它是"通过为AI服务的API访问提供集中控制点来释放智能体AI潜力"的方式。该平台还包括API智能体，它使用AI自动化API生命周期中的任务。

一个关键组件是可定制的自助服务门户，允许开发者轻松加入，并发现和使用多种类型的API，包括SOAP、REST、事件、ASyncAPI、GraphQL等。

该漏洞编号为CVE-2025-13915，影响IBM API Connect版本10.0.8.0到10.0.8.5以及版本10.0.11.0，可能在无需用户交互的情况下对暴露的应用程序进行未授权访问。

Greyhound Research首席分析师Sanchit Vir Gogia表示："CVE-2025-13915最好不要理解为一个安全漏洞，而应该理解为一个长期存在的架构假设最终在公开场合失效的时刻。这个假设很简单，深深嵌入企业设计中：如果流量通过API网关，身份就得到了执行，信任就建立了。这个漏洞证明了这个假设可能完全失效。"

他指出，这个弱点的分类映射到CWE-305，这很重要，因为它排除了他所称的一整类令人安慰的解释。"这不是凭据被盗。不是角色配置错误。不是权限错误，"他说。"身份验证执行本身可以被绕过。"

当这种情况发生时，他解释说，下游服务不仅面临更高的风险，它们还失去了访问决策建立的基础，因为它们不会重新验证身份。它们从来没有被设计成这样；它们继承信任。

"一旦上游执行失败，继承的信任就变成了未获得的信任，暴露会悄无声息地传播，"他说。"这类漏洞与自动化、广泛扫描和机会主义探测一致，而不是仔细的目标定位。"

IBM表示该问题是在内部测试中发现的，并为每个受影响的软件版本提供了临时修复，包括VMware、OCP/CP4I和Kubernetes的个别更新详情。

根据IBM的安全公告，该漏洞唯一建议的缓解措施是："无法安装临时修复的客户应禁用其开发者门户上的自助注册功能（如果已启用），这将有助于最小化他们对此漏洞的暴露。"

公司还在修复的安装说明中指出，升级到下一个版本或修复包时必须删除文档中描述的镜像覆盖。

Gogia表示，这进一步提升了风险。"这不是装饰性细节，"他指出。"管理平面定义配置真相、生命周期控制和跨平台的操作权限。当修复触及这一层时，漏洞就接近控制核心，而不是在孤立的网关边缘。这增加了爆炸半径和修复风险。"

这是因为这些领域的错误可能导致长期暴露或服务不稳定。"镜像覆盖还引入了治理风险：镜像覆盖创建影子状态；如果它们后来没有被明确删除，就会悄悄持续存在，"他指出。"随着时间推移，它们会脱离可见性、所有权和审计范围。这就是临时修复如何变成长期风险的。"

他补充说，修复中涉及的操作挑战不在于知道必须做什么，而在于在不破坏业务的情况下足够快地完成。他说，API治理现在需要包括API的最新清单、它们的版本、依赖关系和暴露点，以及行为监控。

"这里最有价值的结果不是结束，"Gogia观察到。"而是学习。企业应该问，如果这个漏洞被悄悄利用几周会发生什么。哪些服务会隐式信任网关？哪些日志会显示异常行为？哪些团队会首先注意到？这些答案揭示了信任假设是可见的还是不可见的。止步于修补的组织将错过在下一次控制平面故障到来之前加强韧性的难得机会。"

Q&A

Q1：IBM API Connect漏洞CVE-2025-13915有多严重？

A：这是一个关键级别的漏洞，影响IBM API Connect多个版本，可能允许远程攻击者在无需用户交互的情况下绕过身份验证，获得对暴露应用程序的未授权访问。这不仅是简单的安全漏洞，而是暴露了企业架构中长期存在的信任假设缺陷。

Q2：如果无法立即安装修复程序怎么办？

A：IBM建议无法安装临时修复的客户应立即禁用开发者门户上的自助注册功能（如果已启用），这将有助于最小化对此漏洞的暴露。但这只是临时缓解措施，根本解决方案仍需要安装相应的修复程序。

Q3：为什么说这个漏洞比普通安全漏洞更危险？

A：因为它破坏了API网关的核心信任模型。当身份验证被绕过时，下游服务会失去访问控制的基础，因为它们继承而非验证信任。修复过程还涉及管理平面的镜像覆盖，可能创建影子状态，如果处理不当会带来长期治理风险。