Pular para o conteúdo

Vulnerabilidades em IBM App Connect Enterprise: atualizações urgentes necessárias devido a Multer, Body-parser e On-Headers

A IBM emitiu um boletim de segurança abordando várias vulnerabilidades no IBM App Connect Enterprise. Os componentes afetados – Connector Discovery, OpenAPI Editor, Discovery Connectors e Runtime – são suscetíveis a falhas de segurança nas middlewares Node.js Multer, Body-parser e On-Headers. Essas vulnerabilidades podem permitir que invasores causem negação de serviço, manipulem dados sensíveis ou façam alterações não autorizadas nos cabeçalhos de resposta.

A primeira vulnerabilidade, CVE-2025-7338, afeta o Multer, uma middleware para processar multipart/form-data. Em versões de 1.4.4-lts.1 até antes de 2.0.2, um invasor pode causar uma negação de serviço (DoS) através de uma solicitação de upload malformada, levando o processo a travar. A pontuação base do CVSS é 7,5 (alto impacto na disponibilidade). Uma atualização para a versão 2.0.2 corrige a falha; não há workarounds.

A segunda vulnerabilidade, CVE-2025-7783, permite a poluição de parâmetros HTTP (HPP) devido a valores insuficientemente aleatórios em body-parser. As versões de body-parser anteriores a 2.5.4, bem como 3.0.0 a 3.0.3 e 4.0.0 a 4.0.3, são afetadas. Essa falha apresenta um alto risco para confidencialidade e integridade, com uma pontuação base do CVSS de 9,4. É necessária uma atualização para as versões corrigidas correspondentes.

A terceira vulnerabilidade, CVE-2025-7339, afeta a middleware on-headers em versões anteriores a 1.1.0. Um bug permite alterações não intencionais nos cabeçalhos de resposta quando arrays são passados para response.writeHead(). A pontuação base do CVSS é 3,4 (baixo risco), pois um ataque requer acesso local e privilégios elevados. Uma atualização para a versão 1.1.0 ou o uso de um objeto em vez de um array como workaround resolve o problema.

As versões afetadas são IBM App Connect Enterprise 13.0.1.0 a 13.0.4.1 e 12.0.1.0 a 12.0.12.16. A IBM recomenda fortemente a aplicação dos fixes IT48413, disponíveis nos releases de fix pack 13.0.4.2 e 12.0.12.17. Os usuários são solicitados a instalar as atualizações imediatamente para prevenir ataques potenciais. A IBM também oferece a opção de se inscrever em futuros boletins de segurança através de "My Notifications" para se manter informado proativamente.

As vulnerabilidades destacam a necessidade de atualizar o software regularmente, especialmente em ambientes corporativos onde dados sensíveis são processados. Sem as atualizações recomendadas, existe um risco significativo de falhas no sistema e comprometimento de dados.

avatar do autor
LabNews Media LLC
Os Editores-Chefes do labnews.ai são Marita Vollborn e Vlad Georgescu. Eles são autores best-sellers, escritores de ciência e jornalistas científicos desde 1994.Mais detalhes sobre sua escrita no X-Press Journalistenbüro (https://xpress-journalisten.com).Mais informações na Wikipedia:Sobre Marita: https://de.wikipedia.org/wiki/Marita_Vollborn Sobre Vlad: https://de.wikipedia.org/wiki/Vlad_Georgescu
LabNews Media LLC

LabNews Media LLC

Os Editores-Chefes do labnews.ai são Marita Vollborn e Vlad Georgescu. Eles são autores best-sellers, escritores de ciência e jornalistas científicos desde 1994.Mais detalhes sobre sua escrita no X-Press Journalistenbüro (https://xpress-journalisten.com).Mais informações na Wikipedia:Sobre Marita: https://de.wikipedia.org/wiki/Marita_Vollborn Sobre Vlad: https://de.wikipedia.org/wiki/Vlad_Georgescu