Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2017-02557

Опубликовано: 13 июл. 2017
Источник: fstec
CVSS3: 7.3
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость службы BIGIPAuthCookie интерфейса iControl REST линейки продуктов BIG-IP связана с неверным сроком действия сеанса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к интерфейсу iControl REST путем конвертации устаревших cookie-файлов в действительные идентификаторы X-F5-Auth-Token

Вендор

F5 Networks, Inc.

Наименование ПО

BIG-IP Application Security Manager
BIG-IP Access Policy Manager
BIG-IP Link Controller
BIG-IP Policy Enforcement Manager
BIG-IP Local Traffic Manager
BIG-IP DNS
BIG-IP Advanced Firewall Manager
BIG-IP Application Acceleration Manager
BIG-IP WebSafe
BIG-IP Analytics

Версия ПО

от 12.0.0 до 12.1.2 включительно (BIG-IP Application Security Manager)
13.0.0 (BIG-IP Application Security Manager)
от 12.0.0 до 12.1.2 включительно (BIG-IP Access Policy Manager)
от 12.0.0 до 12.1.2 включительно (BIG-IP Link Controller)
от 12.0.0 до 12.1.2 включительно (BIG-IP Policy Enforcement Manager)
от 12.0.0 до 12.1.2 включительно (BIG-IP Local Traffic Manager)
от 12.0.0 до 12.1.2 включительно (BIG-IP DNS)
от 12.0.0 до 12.1.2 включительно (BIG-IP Advanced Firewall Manager)
от 12.0.0 до 12.1.2 включительно (BIG-IP Application Acceleration Manager)
от 12.0.0 до 12.1.2 включительно (BIG-IP WebSafe)
13.0.0 (BIG-IP Link Controller)
от 12.0.0 до 12.1.2 включительно (BIG-IP Analytics)
13.0.0 (BIG-IP Analytics)
13.0.0 (BIG-IP Advanced Firewall Manager)
13.0.0 (BIG-IP Access Policy Manager)
13.0.0 (BIG-IP Local Traffic Manager)
13.0.0 (BIG-IP Policy Enforcement Manager)
13.0.0 (BIG-IP WebSafe)
13.0.0 (BIG-IP Application Acceleration Manager)
13.0.0 (BIG-IP DNS)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://support.f5.com/csp/article/K22317030

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 58%
0.00365
Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2017-6145

CVSS3: 7.3
nvd
больше 8 лет назад

iControl REST in F5 BIG-IP LTM, AAM, AFM, Analytics, APM, ASM, DNS, Link Controller, PEM, and WebSafe 12.0.0 through 12.1.2 and 13.0.0 includes a service to convert authorization BIGIPAuthCookie cookies to X-F5-Auth-Token tokens. This service does not properly re-validate cookies when making that conversion, allowing once-valid but now expired cookies to be converted to valid tokens.

github логотип

GHSA-mfh8-v6rj-qxf5

CVSS3: 7.3
github
больше 3 лет назад

iControl REST in F5 BIG-IP LTM, AAM, AFM, Analytics, APM, ASM, DNS, Link Controller, PEM, and WebSafe 12.0.0 through 12.1.2 and 13.0.0 includes a service to convert authorization BIGIPAuthCookie cookies to X-F5-Auth-Token tokens. This service does not properly re-validate cookies when making that conversion, allowing once-valid but now expired cookies to be converted to valid tokens.

EPSS

Процентиль: 58%
0.00365
Низкий

7.3 High

CVSS3

7.5 High

CVSS2