Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-00701

Опубликовано: 01 июл. 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость интерфейса TMUI средства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, межсетевого экрана BIG-IP Advanced Firewall Manager, средства доставки приложений BIG-IP Application Acceleration Manager, средства защиты приложений BIG-IP Application Security Manager, средства защиты от DDoS-атак BIG-IP DDos Hybrid Defender, DNS-сервера BIG-IP DNS, модуля BIG-IP Fraud Protection Service, системы балансировки интернет-трафика BIG-IP Link Controller, системы балансировки локального трафика BIG-IP Local Traffic Manager, системы контроля и управления сетевым трафиком BIG-IP Policy Enforcement Manager, средства расшифровки SSL и перенаправления расшифрованного трафика SSL Orchestrator связана с ошибками управления генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

F5 Networks, Inc.

Наименование ПО

BIG-IP Access Policy Manager
BIG-IP Advanced Firewall Manager
BIG-IP Advanced Web Application Firewall
BIG-IP Analytics
BIG-IP Application Acceleration Manager
BIG-IP Application Security Manager
BIG-IP DDos Hybrid Defender
BIG-IP DNS
BIG-IP Fraud Protection Service
BIG-IP Global Traffic Manager
BIG-IP Link Controller
BIG-IP Local Traffic Manager
BIG-IP Policy Enforcement Manager
SSL Orchestrator

Версия ПО

от 11.6.1 до 11.6.5.2 (BIG-IP Access Policy Manager)
от 12.1.0 до 12.1.5.2 (BIG-IP Access Policy Manager)
от 13.1.0 до 13.1.3.4 (BIG-IP Access Policy Manager)
от 14.1.0 до 14.1.2.6 (BIG-IP Access Policy Manager)
от 15.0.0 до 15.0.1.4 (BIG-IP Access Policy Manager)
от 15.1.0 до 15.1.0.4 (BIG-IP Access Policy Manager)
от 11.6.1 до 11.6.5.2 (BIG-IP Advanced Firewall Manager)
от 12.1.0 до 12.1.5.2 (BIG-IP Advanced Firewall Manager)
от 13.1.0 до 13.1.3.4 (BIG-IP Advanced Firewall Manager)
от 14.1.0 до 14.1.2.6 (BIG-IP Advanced Firewall Manager)
от 15.0.0 до 15.0.1.4 (BIG-IP Advanced Firewall Manager)
от 15.1.0 до 15.1.0.4 (BIG-IP Advanced Firewall Manager)
от 12.1.0 до 12.1.5.2 (BIG-IP Advanced Web Application Firewall)
от 13.1.0 до 13.1.3.4 (BIG-IP Advanced Web Application Firewall)
от 14.1.0 до 14.1.2.6 (BIG-IP Advanced Web Application Firewall)
от 15.0.0 до 15.0.1.4 (BIG-IP Advanced Web Application Firewall)
от 15.1.0 до 15.1.0.4 (BIG-IP Advanced Web Application Firewall)
от 11.6.1 до 11.6.5.2 (BIG-IP Analytics)
от 12.1.0 до 12.1.5.2 (BIG-IP Analytics)
от 13.1.0 до 13.1.3.4 (BIG-IP Analytics)
от 14.1.0 до 14.1.2.6 (BIG-IP Analytics)
от 15.0.0 до 15.0.1.4 (BIG-IP Analytics)
от 15.1.0 до 15.1.0.4 (BIG-IP Analytics)
от 12.1.0 до 12.1.5.2 (BIG-IP Application Acceleration Manager)
от 13.1.0 до 13.1.3.4 (BIG-IP Application Acceleration Manager)
от 14.1.0 до 14.1.2.6 (BIG-IP Application Acceleration Manager)
от 15.0.0 до 15.0.1.4 (BIG-IP Application Acceleration Manager)
от 15.1.0 до 15.1.0.4 (BIG-IP Application Acceleration Manager)
от 11.6.1 до 11.6.5.2 (BIG-IP Application Security Manager)
от 12.1.0 до 12.1.5.2 (BIG-IP Application Security Manager)
от 13.1.0 до 13.1.3.4 (BIG-IP Application Security Manager)
от 14.1.0 до 14.1.2.6 (BIG-IP Application Security Manager)
от 15.0.0 до 15.0.1.4 (BIG-IP Application Security Manager)
от 15.1.0 до 15.1.0.4 (BIG-IP Application Security Manager)
от 11.6.1 до 11.6.5.2 (BIG-IP DDos Hybrid Defender)
от 12.1.0 до 12.1.5.2 (BIG-IP DDos Hybrid Defender)
от 13.1.0 до 13.1.3.4 (BIG-IP DDos Hybrid Defender)
от 14.1.0 до 14.1.2.6 (BIG-IP DDos Hybrid Defender)
от 15.0.0 до 15.0.1.4 (BIG-IP DDos Hybrid Defender)
от 15.1.0 до 15.1.0.4 (BIG-IP DDos Hybrid Defender)
от 11.6.1 до 11.6.5.2 (BIG-IP DNS)
от 12.1.0 до 12.1.5.2 (BIG-IP DNS)
от 13.1.0 до 13.1.3.4 (BIG-IP DNS)
от 14.1.0 до 14.1.2.6 (BIG-IP DNS)
от 15.0.0 до 15.0.1.4 (BIG-IP DNS)
от 15.1.0 до 15.1.0.4 (BIG-IP DNS)
от 11.6.1 до 11.6.5.2 (BIG-IP Fraud Protection Service)
от 12.1.0 до 12.1.5.2 (BIG-IP Fraud Protection Service)
от 13.1.0 до 13.1.3.4 (BIG-IP Fraud Protection Service)
от 14.1.0 до 14.1.2.6 (BIG-IP Fraud Protection Service)
от 15.0.0 до 15.0.1.4 (BIG-IP Fraud Protection Service)
от 15.1.0 до 15.1.0.4 (BIG-IP Fraud Protection Service)
от 11.6.1 до 11.6.5.2 (BIG-IP Global Traffic Manager)
от 12.1.0 до 12.1.5.2 (BIG-IP Global Traffic Manager)
от 13.1.0 до 13.1.3.4 (BIG-IP Global Traffic Manager)
от 14.1.0 до 14.1.2.6 (BIG-IP Global Traffic Manager)
от 15.0.0 до 15.0.1.4 (BIG-IP Global Traffic Manager)
от 15.1.0 до 15.1.0.4 (BIG-IP Global Traffic Manager)
от 11.6.1 до 11.6.5.2 (BIG-IP Link Controller)
от 12.1.0 до 12.1.5.2 (BIG-IP Link Controller)
от 13.1.0 до 13.1.3.4 (BIG-IP Link Controller)
от 14.1.0 до 14.1.2.6 (BIG-IP Link Controller)
от 15.0.0 до 15.0.1.4 (BIG-IP Link Controller)
от 15.1.0 до 15.1.0.4 (BIG-IP Link Controller)
от 11.6.1 до 11.6.5.2 (BIG-IP Local Traffic Manager)
от 12.1.0 до 12.1.5.2 (BIG-IP Local Traffic Manager)
от 13.1.0 до 13.1.3.4 (BIG-IP Local Traffic Manager)
от 14.1.0 до 14.1.2.6 (BIG-IP Local Traffic Manager)
от 15.0.0 до 15.0.1.4 (BIG-IP Local Traffic Manager)
от 15.1.0 до 15.1.0.4 (BIG-IP Local Traffic Manager)
от 11.6.1 до 11.6.5.2 (BIG-IP Policy Enforcement Manager)
от 12.1.0 до 12.1.5.2 (BIG-IP Policy Enforcement Manager)
от 13.1.0 до 13.1.3.4 (BIG-IP Policy Enforcement Manager)
от 14.1.0 до 14.1.2.6 (BIG-IP Policy Enforcement Manager)
от 15.0.0 до 15.0.1.4 (BIG-IP Policy Enforcement Manager)
от 15.1.0 до 15.1.0.4 (BIG-IP Policy Enforcement Manager)
от 11.6.1 до 11.6.5.2 (SSL Orchestrator)
от 12.1.0 до 12.1.5.2 (SSL Orchestrator)
от 13.1.0 до 13.1.3.4 (SSL Orchestrator)
от 14.1.0 до 14.1.2.6 (SSL Orchestrator)
от 15.0.0 до 15.0.1.4 (SSL Orchestrator)
от 15.1.0 до 15.1.0.4 (SSL Orchestrator)

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое средство
Средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://support.f5.com/csp/article/K52145254

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94442
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-5902

CVSS3: 9.8
nvd
около 5 лет назад

In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1, the Traffic Management User Interface (TMUI), also referred to as the Configuration utility, has a Remote Code Execution (RCE) vulnerability in undisclosed pages.

github логотип

GHSA-2859-2hr6-f86v

CVSS3: 9.8
github
около 3 лет назад

In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1, the Traffic Management User Interface (TMUI), also referred to as the Configuration utility, has a Remote Code Execution (RCE) vulnerability in undisclosed pages.

EPSS

Процентиль: 100%
0.94442
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2