Une vulnérabilité critique dans la plateforme API Connect d’IBM permet aux pirates d’accéder aux applications.
IBM alerte ses clients sur une grave faille de sécurité dans sa plateforme API Connect, qui pourrait permettre à des attaquants d’accéder à des applications sans authentification.
L’authentification peut être complètement contournée
La vulnérabilité CVE-2025-13915 a un score CVSS de 9,8 sur 10 et affecte les versions 10.0.11.0 et 10.0.8.0 à 10.0.8.5 d’IBM API Connect. API Connect sert de passerelle API et est utilisé par des centaines d’entreprises dans des secteurs tels que la banque, la santé, le commerce de détail et les télécommunications.
En cas d’exploitation réussie, un attaquant peut accéder sans identifiants de connexion valides aux applications exposées via API Connect. L’attaque est facile à réaliser, ne nécessite aucune interaction de l’utilisateur et peut être effectuée entièrement à distance.
Mettre à jour dès que possible
IBM appelle les administrateurs à mettre à niveau les installations vulnérables vers la dernière version dès que possible afin d’éviter tout abus. Pour les entreprises qui ne peuvent pas appliquer le correctif immédiatement, IBM recommande de désactiver l’inscription en libre-service dans le portail des développeurs.
« IBM API Connect peut permettre à un attaquant externe de contourner l’authentification et d’obtenir un accès non autorisé », a déclaré IBM dans un avis de sécurité. « Nous recommandons vivement aux clients de traiter cette vulnérabilité immédiatement en effectuant une mise à niveau. »