A IBM emitiu um boletim de segurança que aborda várias vulnerabilidades no IBM App Connect Enterprise. Os componentes afetados – Connector Discovery, OpenAPI Editor, Discovery Connectors e Runtime – são suscetíveis a falhas de segurança nas middlewares Node.js Multer, Form-data e On-Headers. Essas vulnerabilidades podem permitir que invasores causem negação de serviço (DoS), manipulem dados sensíveis ou façam alterações não autorizadas nos cabeçalhos de resposta.
A primeira vulnerabilidade, CVE-2025-7338, afeta o Multer, uma middleware para processar multipart/form-data. Em versões 1.4.4-lts.1 e anteriores a 2.0.2, um invasor pode causar uma negação de serviço (DoS) que trava o processo através de uma solicitação de upload malformada. A pontuação base do CVSS é 7,5 (impacto alto na disponibilidade). Uma atualização para a versão 2.0.2 corrige a falha; não existem workarounds.
A segunda vulnerabilidade, CVE-2025-7783, permite a poluição de parâmetros HTTP (HPP) devido a valores insuficientemente aleatórios em Form-data. As versões de Form-data anteriores a 2.5.4, bem como 3.0.0 a 3.0.3 e 4.0.0 a 4.0.3, são afetadas. Esta falha apresenta um alto risco para a confidencialidade e integridade, com uma pontuação base do CVSS de 9,4. É necessária uma atualização para as versões corrigidas correspondentes.
A terceira vulnerabilidade, CVE-2025-7339, afeta a middleware On-Headers em versões anteriores a 1.1.0. Uma falha permite alterações não intencionais nos cabeçalhos de resposta quando arrays são passados para response.writeHead(). A pontuação base do CVSS é 3,4 (risco baixo), pois um ataque requer acesso local e privilégios elevados. Uma atualização para a versão 1.1.0 ou o uso de um objeto em vez de um array como workaround resolve o problema.
As versões afetadas são IBM App Connect Enterprise 13.0.1.0 a 13.0.4.1 e 12.0.1.0 a 12.0.12.16. A IBM recomenda vivamente a aplicação dos fixes IT48413, disponíveis nos releases de fix pack 13.0.4.2 e 12.0.12.17. Os utilizadores são instados a instalar as atualizações sem demora para prevenir potenciais ataques. A IBM também oferece a opção de se inscrever em futuros boletins de segurança através de "My Notifications" para se manter informado proativamente.
As vulnerabilidades destacam a necessidade de atualizar o software regularmente, especialmente em ambientes corporativos onde dados sensíveis são processados. Sem as atualizações recomendadas, existe um risco significativo de falhas no sistema e comprometimento de dados.
