Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-01651

Опубликовано: 27 мар. 2020
Источник: fstec
CVSS3: 7.8
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость средств контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager и BIG-IQ связана с ошибками контроля доступа. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Вендор

F5 Networks, Inc.

Наименование ПО

BIG-IP Global Traffic Manager
BIG-IP Access Policy Manager
BIG-IP Advanced Firewall Manager
BIG-IP Analytics
BIG-IP Application Acceleration Manager
BIG-IP Application Security Manager
BIG-IP DNS
BIG-IP Edge Gateway
BIG-IP Fraud Protection Service
BIG-IP Link Controller
BIG-IP Local Traffic Manager
BIG-IP Policy Enforcement Manager
BIG-IP Webaccelerator
BIG-IQ Centralized Management

Версия ПО

от 11.5.0 до 11.6.0 (BIG-IP Global Traffic Manager)
от 11.5.2 до 11.6.5 (BIG-IP Access Policy Manager)
от 12.1.0 до 12.1.5 (BIG-IP Access Policy Manager)
от 13.1.0 до 13.1.3 (BIG-IP Access Policy Manager)
от 14.1.0 до 14.1.2 (BIG-IP Access Policy Manager)
от 15.0.0 до 15.0.1 (BIG-IP Access Policy Manager)
от 11.5.2 до 11.6.5 (BIG-IP Advanced Firewall Manager)
от 12.1.0 до 12.1.5 (BIG-IP Advanced Firewall Manager)
от 13.1.0 до 13.1.3 (BIG-IP Advanced Firewall Manager)
от 14.1.0 до 14.1.2 (BIG-IP Advanced Firewall Manager)
от 15.0.0 до 15.0.1 (BIG-IP Advanced Firewall Manager)
от 11.5.2 до 11.6.5 (BIG-IP Analytics)
от 12.1.0 до 12.1.5 (BIG-IP Analytics)
от 13.1.0 до 13.1.3 (BIG-IP Analytics)
от 14.1.0 до 14.1.2 (BIG-IP Analytics)
от 15.0.0 до 15.0.1 (BIG-IP Analytics)
от 11.5.2 до 11.6.5 (BIG-IP Application Acceleration Manager)
от 12.1.0 до 12.1.5 (BIG-IP Application Acceleration Manager)
от 13.1.0 до 13.1.3 (BIG-IP Application Acceleration Manager)
от 14.1.0 до 14.1.2 (BIG-IP Application Acceleration Manager)
от 15.0.0 до 15.0.1 (BIG-IP Application Acceleration Manager)
от 11.5.2 до 11.6.5 (BIG-IP Application Security Manager)
от 12.1.0 до 12.1.5 (BIG-IP Application Security Manager)
от 13.1.0 до 13.1.3 (BIG-IP Application Security Manager)
от 14.1.0 до 14.1.2 (BIG-IP Application Security Manager)
от 15.0.0 до 15.0.1 (BIG-IP Application Security Manager)
от 11.5.2 до 11.6.5 (BIG-IP DNS)
от 12.1.0 до 12.1.5 (BIG-IP DNS)
от 13.1.0 до 13.1.3 (BIG-IP DNS)
от 14.1.0 до 14.1.2 (BIG-IP DNS)
от 15.0.0 до 15.0.1 (BIG-IP DNS)
от 11.5.2 до 11.6.5 (BIG-IP Edge Gateway)
от 12.1.0 до 12.1.5 (BIG-IP Edge Gateway)
от 13.1.0 до 13.1.3 (BIG-IP Edge Gateway)
от 14.1.0 до 14.1.2 (BIG-IP Edge Gateway)
от 15.0.0 до 15.0.1 (BIG-IP Edge Gateway)
от 11.5.2 до 11.6.5 (BIG-IP Fraud Protection Service)
от 12.1.0 до 12.1.5 (BIG-IP Fraud Protection Service)
от 13.1.0 до 13.1.3 (BIG-IP Fraud Protection Service)
от 14.1.0 до 14.1.2 (BIG-IP Fraud Protection Service)
от 15.0.0 до 15.0.1 (BIG-IP Fraud Protection Service)
от 11.5.2 до 11.6.5 (BIG-IP Global Traffic Manager)
от 12.1.0 до 12.1.5 (BIG-IP Global Traffic Manager)
от 13.1.0 до 13.1.3 (BIG-IP Global Traffic Manager)
от 14.1.0 до 14.1.2 (BIG-IP Global Traffic Manager)
от 15.0.0 до 15.0.1 (BIG-IP Global Traffic Manager)
от 11.5.2 до 11.6.5 (BIG-IP Link Controller)
от 12.1.0 до 12.1.5 (BIG-IP Link Controller)
от 13.1.0 до 13.1.3 (BIG-IP Link Controller)
от 14.1.0 до 14.1.2 (BIG-IP Link Controller)
от 15.0.0 до 15.0.1 (BIG-IP Link Controller)
от 11.5.2 до 11.6.5 (BIG-IP Local Traffic Manager)
от 12.1.0 до 12.1.5 (BIG-IP Local Traffic Manager)
от 13.1.0 до 13.1.3 (BIG-IP Local Traffic Manager)
от 14.1.0 до 14.1.2 (BIG-IP Local Traffic Manager)
от 15.0.0 до 15.0.1 (BIG-IP Local Traffic Manager)
от 11.5.2 до 11.6.5 (BIG-IP Policy Enforcement Manager)
от 12.1.0 до 12.1.5 (BIG-IP Policy Enforcement Manager)
от 13.1.0 до 13.1.3 (BIG-IP Policy Enforcement Manager)
от 14.1.0 до 14.1.2 (BIG-IP Policy Enforcement Manager)
от 15.0.0 до 15.0.1 (BIG-IP Policy Enforcement Manager)
от 11.5.2 до 11.6.5 (BIG-IP Webaccelerator)
от 12.1.0 до 12.1.5 (BIG-IP Webaccelerator)
от 13.1.0 до 13.1.3 (BIG-IP Webaccelerator)
от 14.1.0 до 14.1.2 (BIG-IP Webaccelerator)
от 15.0.0 до 15.0.1 (BIG-IP Webaccelerator)
от 5.2.0 до 5.4.0 (BIG-IQ Centralized Management)
от 6.0.0 до 6.1.0 (BIG-IQ Centralized Management)
7.0.0 (BIG-IQ Centralized Management)

Тип ПО

ПО сетевого программно-аппаратного средства
Средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://support.f5.com/csp/article/K36814487

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 45%
0.0022
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-5858

CVSS3: 7.8
nvd
почти 6 лет назад

On BIG-IP 15.0.0-15.0.1.2, 14.1.0-14.1.2.2, 13.1.0-13.1.3.2, 12.1.0-12.1.5, and 11.5.2-11.6.5.1 and BIG-IQ 7.0.0, 6.0.0-6.1.0, and 5.2.0-5.4.0, users with non-administrator roles (for example, Guest or Resource Administrator) with tmsh shell access can execute arbitrary commands with elevated privilege via a crafted tmsh command.

github логотип

GHSA-6mmq-35g9-989q

github
больше 3 лет назад

On BIG-IP 15.0.0-15.0.1.2, 14.1.0-14.1.2.2, 13.1.0-13.1.3.2, 12.1.0-12.1.5, and 11.5.2-11.6.5.1 and BIG-IQ 7.0.0, 6.0.0-6.1.0, and 5.2.0-5.4.0, users with non-administrator roles (for example, Guest or Resource Administrator) with tmsh shell access can execute arbitrary commands with elevated privilege via a crafted tmsh command.

EPSS

Процентиль: 45%
0.0022
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2