Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01660

Опубликовано: 10 мар. 2021
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость интерфейса Traffic Management User Interface (TMUI) средств защиты приложений BIG-IP связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды, создавать или удалять файлы

Вендор

F5 Networks, Inc.

Наименование ПО

BIG-IP Local Traffic Manager
BIG-IP Application Acceleration Manager
BIG-IP Advanced Web Application Firewall
BIG-IP Advanced Firewall Manager
BIG-IP Analytics
BIG-IP Access Policy Manager
BIG-IP Application Security Manager
BIG-IP DDos Hybrid Defender
BIG-IP DNS
BIG-IP Fraud Protection Service
BIG-IP Global Traffic Manager
BIG-IP Link Controller
BIG-IP Policy Enforcement Manager
BIG-IP SSL Orchestrator

Версия ПО

от 16.0.0 до 16.0.1.1 (BIG-IP Local Traffic Manager)
от 15.1.0 до 15.1.2.1 (BIG-IP Local Traffic Manager)
от 14.1.0 до 14.1.4 (BIG-IP Local Traffic Manager)
от 13.1.0 до 13.1.3.6 (BIG-IP Local Traffic Manager)
от 12.1.0 до 12.1.5.3 (BIG-IP Local Traffic Manager)
от 16.0.0 до 16.0.1.1 (BIG-IP Application Acceleration Manager)
от 15.1.0 до 15.1.2.1 (BIG-IP Application Acceleration Manager)
от 14.1.0 до 14.1.4 (BIG-IP Application Acceleration Manager)
от 13.1.0 до 13.1.3.6 (BIG-IP Application Acceleration Manager)
от 12.1.0 до 12.1.5.3 (BIG-IP Application Acceleration Manager)
от 16.0.0 до 16.0.1.1 (BIG-IP Advanced Web Application Firewall)
от 15.1.0 до 15.1.2.1 (BIG-IP Advanced Web Application Firewall)
от 14.1.0 до 14.1.4 (BIG-IP Advanced Web Application Firewall)
от 13.1.0 до 13.1.3.6 (BIG-IP Advanced Web Application Firewall)
от 12.1.0 до 12.1.5.3 (BIG-IP Advanced Web Application Firewall)
от 16.0.0 до 16.0.1.1 (BIG-IP Advanced Firewall Manager)
от 15.1.0 до 15.1.2.1 (BIG-IP Advanced Firewall Manager)
от 14.1.0 до 14.1.4 (BIG-IP Advanced Firewall Manager)
от 13.1.0 до 13.1.3.6 (BIG-IP Advanced Firewall Manager)
от 12.1.0 до 12.1.5.3 (BIG-IP Advanced Firewall Manager)
от 16.0.0 до 16.0.1.1 (BIG-IP Analytics)
от 15.1.0 до 15.1.2.1 (BIG-IP Analytics)
от 14.1.0 до 14.1.4 (BIG-IP Analytics)
от 13.1.0 до 13.1.3.6 (BIG-IP Analytics)
от 12.1.0 до 12.1.5.3 (BIG-IP Analytics)
от 16.0.0 до 16.0.1.1 (BIG-IP Access Policy Manager)
от 15.1.0 до 15.1.2.1 (BIG-IP Access Policy Manager)
от 14.1.0 до 14.1.4 (BIG-IP Access Policy Manager)
от 13.1.0 до 13.1.3.6 (BIG-IP Access Policy Manager)
от 12.1.0 до 12.1.5.3 (BIG-IP Access Policy Manager)
от 16.0.0 до 16.0.1.1 (BIG-IP Application Security Manager)
от 15.1.0 до 15.1.2.1 (BIG-IP Application Security Manager)
от 14.1.0 до 14.1.4 (BIG-IP Application Security Manager)
от 13.1.0 до 13.1.3.6 (BIG-IP Application Security Manager)
от 12.1.0 до 12.1.5.3 (BIG-IP Application Security Manager)
от 16.0.0 до 16.0.1.1 (BIG-IP DDos Hybrid Defender)
от 15.1.0 до 15.1.2.1 (BIG-IP DDos Hybrid Defender)
от 14.1.0 до 14.1.4 (BIG-IP DDos Hybrid Defender)
от 13.1.0 до 13.1.3.6 (BIG-IP DDos Hybrid Defender)
от 12.1.0 до 12.1.5.3 (BIG-IP DDos Hybrid Defender)
от 16.0.0 до 16.0.1.1 (BIG-IP DNS)
от 15.1.0 до 15.1.2.1 (BIG-IP DNS)
от 14.1.0 до 14.1.4 (BIG-IP DNS)
от 13.1.0 до 13.1.3.6 (BIG-IP DNS)
от 12.1.0 до 12.1.5.3 (BIG-IP DNS)
от 16.0.0 до 16.0.1.1 (BIG-IP Fraud Protection Service)
от 15.1.0 до 15.1.2.1 (BIG-IP Fraud Protection Service)
от 14.1.0 до 14.1.4 (BIG-IP Fraud Protection Service)
от 13.1.0 до 13.1.3.6 (BIG-IP Fraud Protection Service)
от 12.1.0 до 12.1.5.3 (BIG-IP Fraud Protection Service)
от 16.0.0 до 16.0.1.1 (BIG-IP Global Traffic Manager)
от 15.1.0 до 15.1.2.1 (BIG-IP Global Traffic Manager)
от 14.1.0 до 14.1.4 (BIG-IP Global Traffic Manager)
от 13.1.0 до 13.1.3.6 (BIG-IP Global Traffic Manager)
от 12.1.0 до 12.1.5.3 (BIG-IP Global Traffic Manager)
от 16.0.0 до 16.0.1.1 (BIG-IP Link Controller)
от 15.1.0 до 15.1.2.1 (BIG-IP Link Controller)
от 14.1.0 до 14.1.4 (BIG-IP Link Controller)
от 13.1.0 до 13.1.3.6 (BIG-IP Link Controller)
от 12.1.0 до 12.1.5.3 (BIG-IP Link Controller)
от 16.0.0 до 16.0.1.1 (BIG-IP Policy Enforcement Manager)
от 15.1.0 до 15.1.2.1 (BIG-IP Policy Enforcement Manager)
от 14.1.0 до 14.1.4 (BIG-IP Policy Enforcement Manager)
от 13.1.0 до 13.1.3.6 (BIG-IP Policy Enforcement Manager)
от 12.1.0 до 12.1.5.3 (BIG-IP Policy Enforcement Manager)
от 16.0.0 до 16.0.1.1 (BIG-IP SSL Orchestrator)
от 15.1.0 до 15.1.2.1 (BIG-IP SSL Orchestrator)
от 14.1.0 до 14.1.4 (BIG-IP SSL Orchestrator)
от 13.1.0 до 13.1.3.6 (BIG-IP SSL Orchestrator)
от 12.1.0 до 12.1.5.3 (BIG-IP SSL Orchestrator)
от 11.6.1 до 11.6.5.3 (BIG-IP Local Traffic Manager)
от 11.6.1 до 11.6.5.3 (BIG-IP Application Acceleration Manager)
от 11.6.1 до 11.6.5.3 (BIG-IP Advanced Web Application Firewall)
от 11.6.1 до 11.6.5.3 (BIG-IP Advanced Firewall Manager)
от 11.6.1 до 11.6.5.3 (BIG-IP Analytics)
от 11.6.1 до 11.6.5.3 (BIG-IP Access Policy Manager)
от 11.6.1 до 11.6.5.3 (BIG-IP Application Security Manager)
от 11.6.1 до 11.6.5.3 (BIG-IP DDos Hybrid Defender)
от 11.6.1 до 11.6.5.3 (BIG-IP DNS)
от 11.6.1 до 11.6.5.3 (BIG-IP Fraud Protection Service)
от 11.6.1 до 11.6.5.3 (BIG-IP Global Traffic Manager)
от 11.6.1 до 11.6.5.3 (BIG-IP Link Controller)
от 11.6.1 до 11.6.5.3 (BIG-IP Policy Enforcement Manager)
от 11.6.1 до 11.6.5.3 (BIG-IP SSL Orchestrator)

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое средство
Средство защиты
Программное средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://support.f5.com/csp/article/K70031188

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.02384
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-22988

CVSS3: 8.8
nvd
почти 5 лет назад

On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3.6, 12.1.x before 12.1.5.3, and 11.6.x before 11.6.5.3, TMUI, also referred to as the Configuration utility, has an authenticated remote command execution vulnerability in undisclosed pages. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated.

github логотип

GHSA-r99x-hm23-v6xf

github
больше 3 лет назад

On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3.6, 12.1.x before 12.1.5.3, and 11.6.x before 11.6.5.3, TMUI, also referred to as the Configuration utility, has an authenticated remote command execution vulnerability in undisclosed pages. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated.

EPSS

Процентиль: 85%
0.02384
Низкий

8.8 High

CVSS3

10 Critical

CVSS2