IBM alerta sobre vulnerabilidad crítica en API Connect que permite eludir la autenticación remota
Resumen del aviso
IBM emitió una alerta de seguridad por una vulnerabilidad crítica en IBM API Connect que permite a atacantes eludir la autenticación de forma remota. La falla fue catalogada con un CVSS de 9.8, ubicándola en el rango de máximo riesgo para entornos empresariales.
Detalles de la vulnerabilidad
Identificada como CVE-2025-13915, la vulnerabilidad afecta a múltiples versiones del producto y permite el acceso sin credenciales válidas, sin interacción del usuario y sin privilegios previos. El problema está clasificado como CWE-305 (Authentication Bypass by Assumed-Immutable Data), lo que implica una validación incorrecta de los mecanismos de autenticación.
Desde el punto de vista operativo, este fallo habilita escenarios de:
-
Exposición de APIs internas y datos sensibles.
-
Compromiso de flujos de integración entre servicios.
-
Escalamiento de impacto en arquitecturas de microservicios y entornos híbridos.
Versiones afectadas
| Producto | Versiones impactadas |
|---|---|
| API Connect | 10.0.8.0 – 10.0.8.5 |
| API Connect | 10.0.11.0 |
Los entornos desplegados sobre VMware, Red Hat OpenShift y Kubernetes se encuentran igualmente expuestos si ejecutan las versiones vulnerables.
Medidas de mitigación recomendadas
IBM recomienda acciones inmediatas para reducir el riesgo de explotación:
-
Actualizar de forma urgente a las versiones parcheadas ya disponibles.
-
Aplicar como workaround temporal la desactivación del registro self-service en el Developer Portal, lo que reduce la superficie de ataque.
-
Reforzar el monitoreo continuo de accesos y eventos relacionados con autenticación.
-
Priorizar la aplicación acelerada de parches en plataformas de gestión de APIs expuestas a Internet.
Dado el puntaje CVSS y la facilidad de explotación, esta vulnerabilidad debe tratarse como prioridad máxima dentro de los ciclos de gestión de parches.