IBM上周发布安全公告，警告API组件存在一项可能导致黑客访问应用的重大安全漏洞，呼吁用户尽快安装更新。

编号CVE-2025-13915的漏洞存在于API Connect中，可让远程攻击者绕过身份验证机制访问应用。IBM API Connect是企业级API管理平台，提供API生命周期管理、负责身份验证的API网关及开发者门户。

该漏洞的CVSS风险评分为9.8，类型为“通过主要弱点绕过身份验证”。根据漏洞数据库，这意味着身份验证算法本身没有问题，但实现过程中因其他缺陷导致验证机制被绕过。

受影响的API Connect版本包括V10.0.8.0至V10.0.8.5和V10.0.11.0。IBM已发布iFix（临时修复程序）修补该漏洞。对于无法立即安装iFix的用户，IBM建议采取临时缓解措施：禁用开发者门户的自助注册功能，以降低攻击者利用该漏洞注册或滥用门户的机会。