تخطي إلى المحتوى

ثغرات أمنية في IBM App Connect Enterprise: تحديثات عاجلة مطلوبة بسبب Multer، بيانات النماذج، و On-Headers

أصدرت IBM نشرة أمنية تعالج العديد من الثغرات الأمنية في IBM App Connect Enterprise. المكونات المتأثرة - Connector Discovery، و OpenAPI Editor، و Discovery Connectors، و Runtime - معرضة للخطر بسبب ثغرات في برمجيات Node.js الوسيطة Multer، و Form-data، و On-headers. قد تسمح هذه الثغرات للمهاجمين بتعطيل الأنظمة، أو التلاعب بـ البيانات الحساسة، أو إجراء تغييرات غير مصرح بها على رؤوس الاستجابة.

الثغرة الأولى، CVE-2025-7338، تؤثر على Multer، وهي برمجية وسيطة لمعالجة بيانات multipart/form-data. في الإصدارات من 1.4.4-lts.1 إلى ما قبل 2.0.2، يمكن للمهاجم التسبب في رفض الخدمة (DoS) عن طريق طلب تحميل معيب، مما يؤدي إلى تعطل العملية. قيمة CVSS الأساسية هي 7.5 (تأثير كبير على التوفر). التحديث إلى الإصدار 2.0.2 يسد الثغرة، ولا توجد حلول بديلة.

الثغرة الثانية، CVE-2025-7783، تسمح بتسميم معلمات HTTP (HPP) بسبب قيم عشوائية غير كافية في بيانات النماذج. الإصدارات المتأثرة هي Form-data قبل 2.5.4، وكذلك 3.0.0 إلى 3.0.3 و 4.0.0 إلى 4.0.3. تشكل هذه الثغرة خطرًا كبيرًا على السرية والنزاهة، بقيمة CVSS أساسية تبلغ 9.4. يلزم التحديث إلى الإصدارات المصححة المناسبة.

الثغرة الثالثة، CVE-2025-7339، تؤثر على برمجية On-headers الوسيطة في الإصدارات قبل 1.1.0. يسمح خطأ بتغييرات غير مقصودة في رؤوس الاستجابة عند تمرير المصفوفات إلى response.writeHead(). قيمة CVSS الأساسية هي 3.4 (خطر منخفض)، حيث يتطلب الهجوم وصولاً محليًا وامتيازات عالية. التحديث إلى الإصدار 1.1.0 أو استخدام كائن بدلاً من مصفوفة كحل بديل يعالج المشكلة.

الإصدارات المتأثرة هي IBM App Connect Enterprise الإصدارات 13.0.1.0 إلى 13.0.4.1، وكذلك 12.0.1.0 إلى 12.0.12.16. توصي IBM بشدة بتطبيق الإصلاحات IT48413 المتوفرة في إصدارات الحزمة الإصلاحية 13.0.4.2 و 12.0.12.17. يُطلب من المستخدمين تثبيت التحديثات على الفور لمنع الهجمات المحتملة. تقدم IBM أيضًا خيار الاشتراك في النشرات الأمنية المستقبلية عبر "My Notifications" للبقاء على اطلاع استباقي.

توضح الثغرات الأمنية الحاجة إلى تحديث البرامج بانتظام، خاصة في بيئات المؤسسات حيث تتم معالجة البيانات الحساسة. بدون التحديثات الموصى بها، يوجد خطر كبير من فشل النظام واختراق البيانات.

صورة رمزية للمؤلف
لاب نيوز ميديا ذ.م.م
رئيسي تحرير labnews.ai هما ماريتا فولبورن وفلاد جورجيسكو. وهما مؤلفان حققا أفضل المبيعات، وكاتبا علوم، وصحفيي علوم منذ عام 1994.مزيد من التفاصيل حول كتاباتهما على X-Press Journalistenbüro (https://xpress-journalisten.com).مزيد من المعلومات على ويكيبيديا:عن ماريتا: https://de.wikipedia.org/wiki/Marita_Vollborn عن فلاد: https://de.wikipedia.org/wiki/Vlad_Georgescu
لاب نيوز ميديا ذ.م.م

لاب نيوز ميديا ذ.م.م

رئيسي تحرير labnews.ai هما ماريتا فولبورن وفلاد جورجيسكو. وهما مؤلفان حققا أفضل المبيعات، وكاتبا علوم، وصحفيي علوم منذ عام 1994.مزيد من التفاصيل حول كتاباتهما على X-Press Journalistenbüro (https://xpress-journalisten.com).مزيد من المعلومات على ويكيبيديا:عن ماريتا: https://de.wikipedia.org/wiki/Marita_Vollborn عن فلاد: https://de.wikipedia.org/wiki/Vlad_Georgescu