BDU:2021-01657

Опубликовано: 10 мар. 2021

Источник: fstec

CVSS3: 9.1

CVSS2: 9

EPSS Низкий

Описание

Уязвимость компонента Advanced WAF/ASM TMUI средств защиты приложений BIG-IP связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды, изменять или удалять файлы

Вендор

F5 Networks, Inc.

Наименование ПО

BIG-IP Local Traffic Manager

BIG-IP Application Acceleration Manager

BIG-IP Advanced Web Application Firewall

BIG-IP Advanced Firewall Manager

BIG-IP Analytics

BIG-IP Access Policy Manager

BIG-IP Application Security Manager

BIG-IP DDos Hybrid Defender

BIG-IP DNS

BIG-IP Fraud Protection Service

BIG-IP Global Traffic Manager

BIG-IP Link Controller

BIG-IP Policy Enforcement Manager

BIG-IP SSL Orchestrator

Версия ПО

от 16.0.0 до 16.0.1.1 (BIG-IP Local Traffic Manager)

от 15.1.0 до 15.1.2.1 (BIG-IP Local Traffic Manager)

от 14.1.0 до 14.1.4 (BIG-IP Local Traffic Manager)

от 13.1.0 до 13.1.3.6 (BIG-IP Local Traffic Manager)

от 12.1.0 до 12.1.5.3 (BIG-IP Local Traffic Manager)

от 16.0.0 до 16.0.1.1 (BIG-IP Application Acceleration Manager)

от 15.1.0 до 15.1.2.1 (BIG-IP Application Acceleration Manager)

от 14.1.0 до 14.1.4 (BIG-IP Application Acceleration Manager)

от 13.1.0 до 13.1.3.6 (BIG-IP Application Acceleration Manager)

от 12.1.0 до 12.1.5.3 (BIG-IP Application Acceleration Manager)

от 16.0.0 до 16.0.1.1 (BIG-IP Advanced Web Application Firewall)

от 15.1.0 до 15.1.2.1 (BIG-IP Advanced Web Application Firewall)

от 14.1.0 до 14.1.4 (BIG-IP Advanced Web Application Firewall)

от 13.1.0 до 13.1.3.6 (BIG-IP Advanced Web Application Firewall)

от 12.1.0 до 12.1.5.3 (BIG-IP Advanced Web Application Firewall)

от 16.0.0 до 16.0.1.1 (BIG-IP Advanced Firewall Manager)

от 15.1.0 до 15.1.2.1 (BIG-IP Advanced Firewall Manager)

от 14.1.0 до 14.1.4 (BIG-IP Advanced Firewall Manager)

от 13.1.0 до 13.1.3.6 (BIG-IP Advanced Firewall Manager)

от 12.1.0 до 12.1.5.3 (BIG-IP Advanced Firewall Manager)

от 16.0.0 до 16.0.1.1 (BIG-IP Analytics)

от 15.1.0 до 15.1.2.1 (BIG-IP Analytics)

от 14.1.0 до 14.1.4 (BIG-IP Analytics)

от 13.1.0 до 13.1.3.6 (BIG-IP Analytics)

от 12.1.0 до 12.1.5.3 (BIG-IP Analytics)

от 16.0.0 до 16.0.1.1 (BIG-IP Access Policy Manager)

от 15.1.0 до 15.1.2.1 (BIG-IP Access Policy Manager)

от 14.1.0 до 14.1.4 (BIG-IP Access Policy Manager)

от 13.1.0 до 13.1.3.6 (BIG-IP Access Policy Manager)

от 12.1.0 до 12.1.5.3 (BIG-IP Access Policy Manager)

от 16.0.0 до 16.0.1.1 (BIG-IP Application Security Manager)

от 15.1.0 до 15.1.2.1 (BIG-IP Application Security Manager)

от 14.1.0 до 14.1.4 (BIG-IP Application Security Manager)

от 13.1.0 до 13.1.3.6 (BIG-IP Application Security Manager)

от 12.1.0 до 12.1.5.3 (BIG-IP Application Security Manager)

от 16.0.0 до 16.0.1.1 (BIG-IP DDos Hybrid Defender)

от 15.1.0 до 15.1.2.1 (BIG-IP DDos Hybrid Defender)

от 14.1.0 до 14.1.4 (BIG-IP DDos Hybrid Defender)

от 13.1.0 до 13.1.3.6 (BIG-IP DDos Hybrid Defender)

от 12.1.0 до 12.1.5.3 (BIG-IP DDos Hybrid Defender)

от 16.0.0 до 16.0.1.1 (BIG-IP DNS)

от 15.1.0 до 15.1.2.1 (BIG-IP DNS)

от 14.1.0 до 14.1.4 (BIG-IP DNS)

от 13.1.0 до 13.1.3.6 (BIG-IP DNS)

от 12.1.0 до 12.1.5.3 (BIG-IP DNS)

от 16.0.0 до 16.0.1.1 (BIG-IP Fraud Protection Service)

от 15.1.0 до 15.1.2.1 (BIG-IP Fraud Protection Service)

от 14.1.0 до 14.1.4 (BIG-IP Fraud Protection Service)

от 13.1.0 до 13.1.3.6 (BIG-IP Fraud Protection Service)

от 12.1.0 до 12.1.5.3 (BIG-IP Fraud Protection Service)

от 16.0.0 до 16.0.1.1 (BIG-IP Global Traffic Manager)

от 15.1.0 до 15.1.2.1 (BIG-IP Global Traffic Manager)

от 14.1.0 до 14.1.4 (BIG-IP Global Traffic Manager)

от 13.1.0 до 13.1.3.6 (BIG-IP Global Traffic Manager)

от 12.1.0 до 12.1.5.3 (BIG-IP Global Traffic Manager)

от 16.0.0 до 16.0.1.1 (BIG-IP Link Controller)

от 15.1.0 до 15.1.2.1 (BIG-IP Link Controller)

от 14.1.0 до 14.1.4 (BIG-IP Link Controller)

от 13.1.0 до 13.1.3.6 (BIG-IP Link Controller)

от 12.1.0 до 12.1.5.3 (BIG-IP Link Controller)

от 16.0.0 до 16.0.1.1 (BIG-IP Policy Enforcement Manager)

от 15.1.0 до 15.1.2.1 (BIG-IP Policy Enforcement Manager)

от 14.1.0 до 14.1.4 (BIG-IP Policy Enforcement Manager)

от 13.1.0 до 13.1.3.6 (BIG-IP Policy Enforcement Manager)

от 12.1.0 до 12.1.5.3 (BIG-IP Policy Enforcement Manager)

от 16.0.0 до 16.0.1.1 (BIG-IP SSL Orchestrator)

от 15.1.0 до 15.1.2.1 (BIG-IP SSL Orchestrator)

от 14.1.0 до 14.1.4 (BIG-IP SSL Orchestrator)

от 13.1.0 до 13.1.3.6 (BIG-IP SSL Orchestrator)

от 12.1.0 до 12.1.5.3 (BIG-IP SSL Orchestrator)

Тип ПО

ПО сетевого программно-аппаратного средства

Сетевое средство

Средство защиты

Программное средство защиты

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://support.f5.com/csp/article/K56142644

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://support.f5.com/csp/article/K56142644

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-22989
CVE

EPSS

Процентиль: 80%

0.01365

Низкий

9.1 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2021-22989

CVSS3: 9.1

nvd

почти 5 лет назад

On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3.6, 12.1.x before 12.1.5.3, and 11.6.x before 11.6.5.3, when running in Appliance mode with Advanced WAF or BIG-IP ASM provisioned, the TMUI, also referred to as the Configuration utility, has an authenticated remote command execution vulnerability in undisclosed pages. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated.

GHSA-86gp-vc79-86x4

github

больше 3 лет назад