Reparierter Sicherheitspatch schließt Schadcode-Lücke in IBM App Connect
IBMs Entwickler haben erneut eine kritische Sicherheitslücke in IBM App Connect Enterprise geschlossen.
(Bild: Dmitry Demidovich/Shutterstock.com)
Angreifer können Systeme mit IBMs Anwendungsintegrationssoftware App Connect Enterprise attackieren. Dabei kann Schadcode auf PCs gelangen und diese kompromittieren. Das wurde schon mal gepatcht, das Sicherheitsupdate war aber unvollständig. Nun haben die Entwickler einen reparierten Patch veröffentlicht. Noch gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen.
Kritische Sicherheitslücke
Die Schwachstelle (CVE-2025-1302 "kritisch") betrifft das jsonpath-plus-Modul zum Verarbeiten von JSON-Konfigurationen. Weil Eingaben nicht ausreichend überprüft werden, können Angreifer hier mit präparierten Anfragen ansetzen und am Ende Schadcode ausführen.
Die Lücke sorgte bereits im Dezember 2024 mit der Kennung CVE-2024-21534 für Schlagzeilen. Wie die Entwickler inzwischen in einer Warnmeldung schreiben, war der Patch kaputt und hat Systeme nicht ausreichend geschützt.
Die Entwickler versichern, die Schwachstelle jetzt in den Ausgaben 12.0.12.12 APAR IT47820 und 13.0.3.0 APAR IT47820 aus der Welt geschafft zu haben. Darin wurde auch eine weitere Lücke (CVE-2025-24791 "mittel") geschlossen, über die Angreifer Zugangsbeschränkungen umgehen können.
(des)
