IBM sérülékenységek
A IBM figyelmeztetése szerint több kritikus és magas kockázatú sérülékenység érinti az IBM App Connect Enterprise és az IBM Integration Bus komponenseit, amelyek távoli támadások, jogosultságkiterjesztés, DoS és bizonyos esetekben kódfuttatás lehetőségét is megnyithatják.
A legsúlyosabb problémák között szerepel egy prototype pollution sérülékenység a flatted JSON parser komponensben (CVE-2026-33228), amely nem megfelelő input-ellenőrzés miatt speciálisan kialakított JSON adatok feldolgozásával magasabb jogosultság megszerzését teheti lehetővé. Emellett több DoS-jellegű hiba is javításra került, például a fast-xml-parser komponensben (CVE-2026-33036), ahol rosszindulatú XML inputok túlzott CPU-terhelést vagy szolgáltatásleállást okozhatnak.
A konténeres App Connect környezetek további kockázatot jelentenek, mivel egyes sérülékenységek Python és Node.js komponenseken keresztül érhetők el. A kutatások szerint bizonyos DesignerAuthoring és IntegrationRuntime komponensek esetén hitelesített támadó távoli kódfuttatást érhet el, illetve konfigurációs manipulációt és érzékeny adatok kiszivárgását is előidézheti.
A sérülékenységek különösen érzékeny környezeteket érintenek, mivel az IBM ACE tipikusan middleware és integrációs rétegként működik banki, ipari, kormányzati és nagyvállalati infrastruktúrákban. Egy sikeres kompromittáció így nem csupán egy alkalmazást érinthet, hanem az integrációs folyamatokon keresztül több backend rendszerhez is hozzáférést biztosíthat.
Az IBM javításokat adott ki a 12-es és 13-as verzióágakhoz, és sürgős frissítést javasol minden érintett rendszer esetében. Jelenleg nincs nyilvános bizonyíték aktív exploitra, azonban több sérülékenység hálózaton keresztül kihasználható, ami magas kockázatot jelent internet vagy partnerhálózat felől elérhető integrációs környezetekben.
