IBM hat ein Sicherheitsbulletin herausgegeben, das mehrere Schwachstellen in IBM App Connect Enterprise betrifft. Die betroffenen Komponenten – Connector Discovery, OpenAPI Editor, Discovery Connectors und Runtime – sind durch Sicherheitslücken in den Node.js-Middlewares Multer, Formulardaten und On-Headers anfällig. Diese Schwachstellen könnten Angreifern ermöglichen, Systeme lahmzulegen, sensible Daten zu manipulieren oder unbefugte Änderungen an Antwort-Headern vorzunehmen.
Die erste Schwachstelle, CVE-2025-7338, betrifft Multer, eine Middleware zur Verarbeitung von Multipart/Form-Data. In Versionen ab 1.4.4-lts.1 bis vor 2.0.2 kann ein Angreifer durch eine fehlerhafte Upload-Anfrage einen Denial-of-Service (DoS) auslösen, der den Prozess zum Absturz bringt. Der CVSS-Basiswert liegt bei 7,5 (hohe Verfügbarkeitsbeeinträchtigung). Ein Update auf Version 2.0.2 schließt die Lücke, Workarounds gibt es nicht.
Die zweite Schwachstelle, CVE-2025-7783, ermöglicht durch unzureichend zufällige Werte in Formulardaten eine HTTP-Parameter-Pollution (HPP). Betroffen sind Formulardaten-Versionen vor 2.5.4 sowie 3.0.0 bis 3.0.3 und 4.0.0 bis 4.0.3. Diese Lücke birgt ein hohes Risiko für Vertraulichkeit und Integrität, mit einem CVSS-Basiswert von 9,4. Ein Update auf die entsprechenden gepatchten Versionen ist erforderlich.
Die dritte Schwachstelle, CVE-2025-7339, betrifft die On-Headers-Middleware in Versionen vor 1.1.0. Ein Fehler erlaubt unbeabsichtigte Änderungen an Antwort-Headern, wenn Arrays an response.writeHead() übergeben werden. Der CVSS-Basiswert liegt bei 3,4 (geringes Risiko), da ein Angriff lokale Zugriffe und hohe Privilegien erfordert. Ein Update auf Version 1.1.0 oder die Verwendung eines Objekts statt eines Arrays als Workaround behebt das Problem.
Betroffen sind IBM App Connect Enterprise Versionen 13.0.1.0 bis 13.0.4.1 sowie 12.0.1.0 bis 12.0.12.16. IBM empfiehlt dringend, die Fixes IT48413 anzuwenden, die in den Fix-Pack-Releases 13.0.4.2 und 12.0.12.17 verfügbar sind. Nutzer werden aufgefordert, die Updates unverzüglich zu installieren, um potenzielle Angriffe zu verhindern. IBM bietet zudem die Möglichkeit, sich über „My Notifications“ für zukünftige Sicherheitsbulletins anzumelden, um proaktiv informiert zu bleiben.
Die Schwachstellen verdeutlichen die Notwendigkeit, Software regelmäßig zu aktualisieren, insbesondere in Unternehmensumgebungen, wo sensible Daten verarbeitet werden. Ohne die empfohlenen Updates besteht ein erhebliches Risiko für Systemausfälle und Datenkompromittierungen.
