A IBM emitiu um boletim de segurança abordando várias vulnerabilidades no IBM App Connect Enterprise. Os componentes afetados – Connector Discovery, OpenAPI Editor, Discovery Connectors e Runtime – são suscetíveis a falhas de segurança nas middlewares Node.js Multer, Body-parser e On-Headers. Essas vulnerabilidades podem permitir que invasores causem negação de serviço, manipulem dados sensíveis ou façam alterações não autorizadas nos cabeçalhos de resposta.
A primeira vulnerabilidade, CVE-2025-7338, afeta o Multer, uma middleware para processar multipart/form-data. Em versões de 1.4.4-lts.1 até antes de 2.0.2, um invasor pode causar uma negação de serviço (DoS) através de uma solicitação de upload malformada, levando o processo a travar. A pontuação base do CVSS é 7,5 (alto impacto na disponibilidade). Uma atualização para a versão 2.0.2 corrige a falha; não há workarounds.
A segunda vulnerabilidade, CVE-2025-7783, permite a poluição de parâmetros HTTP (HPP) devido a valores insuficientemente aleatórios em body-parser. As versões de body-parser anteriores a 2.5.4, bem como 3.0.0 a 3.0.3 e 4.0.0 a 4.0.3, são afetadas. Essa falha apresenta um alto risco para confidencialidade e integridade, com uma pontuação base do CVSS de 9,4. É necessária uma atualização para as versões corrigidas correspondentes.
A terceira vulnerabilidade, CVE-2025-7339, afeta a middleware on-headers em versões anteriores a 1.1.0. Um bug permite alterações não intencionais nos cabeçalhos de resposta quando arrays são passados para response.writeHead(). A pontuação base do CVSS é 3,4 (baixo risco), pois um ataque requer acesso local e privilégios elevados. Uma atualização para a versão 1.1.0 ou o uso de um objeto em vez de um array como workaround resolve o problema.
As versões afetadas são IBM App Connect Enterprise 13.0.1.0 a 13.0.4.1 e 12.0.1.0 a 12.0.12.16. A IBM recomenda fortemente a aplicação dos fixes IT48413, disponíveis nos releases de fix pack 13.0.4.2 e 12.0.12.17. Os usuários são solicitados a instalar as atualizações imediatamente para prevenir ataques potenciais. A IBM também oferece a opção de se inscrever em futuros boletins de segurança através de "My Notifications" para se manter informado proativamente.
As vulnerabilidades destacam a necessidade de atualizar o software regularmente, especialmente em ambientes corporativos onde dados sensíveis são processados. Sem as atualizações recomendadas, existe um risco significativo de falhas no sistema e comprometimento de dados.
