IBM App Connect Enterprise: teils kritische Sicherheitslücken
- Sicherheitshinweis
Über eine kritische Schwachstelle können Angreifende in IBM App Connect Enterprise Schadcode einschleusen und ausführen. Ein Patch ist verfügbar, den Betreibende rasch installieren sollten.
© IBM
RCE-/XSS-Angriff möglich
Aufgrund einer unzureichenden Validierung von JSON-Daten können Angreifende bösartigen JavaScript-Code auf die Geräte einschleusen und dort ausführen. In Node.js-Umgebungen kann ein RCE-Angriff (Remote Code Execution) die Folge sein, in Browsern ein XSS-Angriff (Cross-site Scripting).
Betroffen sind folgende Produkte:
- IBM App Connect Operator, Versionen:
- CD: 11.4.0 - 11.6.0, 12.1.0 - 12.20.1
- 12.0 LTS: 12.0.0 - 12.0.21
- IBM App Connect Enterprise Certified Containers Operands, Versionen:
- CD: 12.0.11.3-r1 - 12.0.12.5-r1, 13.0.1.0-r1 - 13.0.6.1-r1
- 12.0 LTS: 12.0.12-r1 - 12.0.12-r21
Dies berichten das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Hersteller.
Die Schwachstelle hat die Kennung CVE-2026-1615 und einen CVSS-Base-Score von 9.8/10.
Empfehlungen des Herstellers
IBM empfiehlt Folgendes:
- App Connect Enterprise Certified Container bis einschl. 12.20.1 (Continuous Delivery): Aktualisieren Sie auf Version 12.21.0 oder höher. Prüfen Sie, ob alle Komponenten auf Version 13.0.6.2-r1 oder höher sind.
- App Connect Enterprise Certified Container 12.0 LTS (Long Term Support): Aktualisieren Sie auf Version 12.0.22 höher. Prüfen Sie, ob alle Komponenten auf Version 12.0.12-r22 oder höher sind.
Mit den Patches schließt der Hersteller gleichzeitig weitere Sicherheitslücken.