Podatność w IBM API Connect pozwala zdalnemu atakującemu na obejście mechanizmów uwierzytelniania i uzyskanie nieautoryzowanego dostępu do aplikacji. Ocena CVSS 9.8 (CRITICAL) wskazuje na wyjątkowo wysokie ryzyko, gdyż exploit nie wymaga żadnych uprawnień ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
IBM API Connect 10.0.8.0 through 10.0.8.5, and 10.0.11.0 could allow a remote attacker to bypass authentication mechanisms and gain unauthorized access to the application.
Podatność sklasyfikowana jako CWE-305 (Authentication Bypass by Primary Weakness) oznacza, że w implementacji procesu uwierzytelniania istnieje luka pozwalająca na jego ominięcie bez posiadania prawidłowych poświadczeń. Atakujący może wysłać spreparowane żądanie sieciowe do podatnego systemu i uzyskać dostęp do aplikacji z pominięciem wymaganego logowania. Atak jest możliwy zdalnie przez sieć, bez konieczności posiadania jakichkolwiek uprawnień w systemie.
Pomyślne wykorzystanie podatności umożliwia atakującemu uzyskanie nieautoryzowanego dostępu do aplikacji IBM API Connect, co może prowadzić do pełnego naruszenia poufności, integralności i dostępności zarządzanych zasobów oraz interfejsów API.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje i łatki dostępne są pod adresem: https://www.ibm.com/support/pages/node/7255149
IBM API Connect w wersjach od 10.0.8.0 do 10.0.8.5 oraz wersja 10.0.11.0
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HIBM Api Connect
APPIbm10.0.11.010.0.8.0 – 10.0.8.5
Powiązane podatności
IBM API Connect 5.0.0.0 through 5.0.8.11 could allow a user to potentially inject code due to unsanitized user...
IBM API Connect 5.0.0.0 through 5.0.8.11 could alllow a remote user to obtain sensitive information or conduct...
IBM API Connect 5.0.0.0 through 5.0.8.10 could potentially leak sensitive information or allow for data corrup...
IBM API Connect 5.0.0.0 and 5.0.8.6 Developer Portal can be exploited by app developers to download arbitrary ...
IBM API Connect 5.0.0.0 and 5.0.8.6 Developer Portal is vulnerable to command injection. An attacker with a sp...