Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04388

Опубликовано: 31 мар. 2021
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость интерфейса iControl REST API средств контроля доступа и удаленной аутентификации BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO), серверного программного обеспечения BIG-IQ Centralized Management связана с недостаточной проверкой аргументов, передаваемых в команду. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды в целевой системе

Вендор

F5 Networks, Inc.

Наименование ПО

BIG-IP Application Acceleration Manager
BIG-IP Advanced Web Application Firewall
BIG-IP Advanced Firewall Manager
BIG-IP Analytics
BIG-IP Access Policy Manager
BIG-IP Application Security Manager
BIG-IP DDos Hybrid Defender
BIG-IP DNS
BIG-IP Global Traffic Manager
BIG-IP Link Controller
BIG-IP Policy Enforcement Manager
BIG-IP SSL Orchestrator
BIG-IQ Centralized Management
BIG-IP LTM

Версия ПО

от 15.1.0 до 15.1.2.1 (BIG-IP Application Acceleration Manager)
от 14.1.0 до 14.1.4 (BIG-IP Application Acceleration Manager)
от 13.1.0 до 13.1.3.6 (BIG-IP Application Acceleration Manager)
от 12.1.0 до 12.1.5.3 (BIG-IP Application Acceleration Manager)
от 16.0.0 до 16.0.1.1 (BIG-IP Advanced Web Application Firewall)
от 15.1.0 до 15.1.2.1 (BIG-IP Advanced Web Application Firewall)
от 14.1.0 до 14.1.4 (BIG-IP Advanced Web Application Firewall)
от 13.1.0 до 13.1.3.6 (BIG-IP Advanced Web Application Firewall)
от 16.0.0 до 16.0.1.1 (BIG-IP Advanced Firewall Manager)
от 15.1.0 до 15.1.2.1 (BIG-IP Advanced Firewall Manager)
от 14.1.0 до 14.1.4 (BIG-IP Advanced Firewall Manager)
от 13.1.0 до 13.1.3.6 (BIG-IP Advanced Firewall Manager)
от 12.1.0 до 12.1.5.3 (BIG-IP Advanced Firewall Manager)
от 16.0.0 до 16.0.1.1 (BIG-IP Analytics)
от 15.1.0 до 15.1.2.1 (BIG-IP Analytics)
от 14.1.0 до 14.1.4 (BIG-IP Analytics)
от 13.1.0 до 13.1.3.6 (BIG-IP Analytics)
от 12.1.0 до 12.1.5.3 (BIG-IP Analytics)
от 16.0.0 до 16.0.1.1 (BIG-IP Access Policy Manager)
от 15.1.0 до 15.1.2.1 (BIG-IP Access Policy Manager)
от 14.1.0 до 14.1.4 (BIG-IP Access Policy Manager)
от 13.1.0 до 13.1.3.6 (BIG-IP Access Policy Manager)
от 12.1.0 до 12.1.5.3 (BIG-IP Access Policy Manager)
от 16.0.0 до 16.0.1.1 (BIG-IP Application Security Manager)
от 14.1.0 до 14.1.4 (BIG-IP Application Security Manager)
от 13.1.0 до 13.1.3.6 (BIG-IP Application Security Manager)
от 12.1.0 до 12.1.5.3 (BIG-IP Application Security Manager)
от 16.0.0 до 16.0.1.1 (BIG-IP DDos Hybrid Defender)
от 15.1.0 до 15.1.2.1 (BIG-IP DDos Hybrid Defender)
от 14.1.0 до 14.1.4 (BIG-IP DDos Hybrid Defender)
от 13.1.0 до 13.1.3.6 (BIG-IP DDos Hybrid Defender)
от 16.0.0 до 16.0.1.1 (BIG-IP DNS)
от 15.1.0 до 15.1.2.1 (BIG-IP DNS)
от 14.1.0 до 14.1.4 (BIG-IP DNS)
от 13.1.0 до 13.1.3.6 (BIG-IP DNS)
от 12.1.0 до 12.1.5.3 (BIG-IP DNS)
от 16.0.0 до 16.0.1.1 (BIG-IP Global Traffic Manager)
от 15.1.0 до 15.1.2.1 (BIG-IP Global Traffic Manager)
от 14.1.0 до 14.1.4 (BIG-IP Global Traffic Manager)
от 13.1.0 до 13.1.3.6 (BIG-IP Global Traffic Manager)
от 12.1.0 до 12.1.5.3 (BIG-IP Global Traffic Manager)
от 16.0.0 до 16.0.1.1 (BIG-IP Link Controller)
от 15.1.0 до 15.1.2.1 (BIG-IP Link Controller)
от 14.1.0 до 14.1.4 (BIG-IP Link Controller)
от 13.1.0 до 13.1.3.6 (BIG-IP Link Controller)
от 12.1.0 до 12.1.5.3 (BIG-IP Link Controller)
от 16.0.0 до 16.0.1.1 (BIG-IP Policy Enforcement Manager)
от 15.1.0 до 15.1.2.1 (BIG-IP Policy Enforcement Manager)
от 14.1.0 до 14.1.4 (BIG-IP Policy Enforcement Manager)
от 13.1.0 до 13.1.3.6 (BIG-IP Policy Enforcement Manager)
от 12.1.0 до 12.1.5.3 (BIG-IP Policy Enforcement Manager)
от 16.0.0 до 16.0.1.1 (BIG-IP SSL Orchestrator)
от 15.1.0 до 15.1.2.1 (BIG-IP SSL Orchestrator)
от 14.1.0 до 14.1.4 (BIG-IP SSL Orchestrator)
от 13.1.0 до 13.1.3.6 (BIG-IP SSL Orchestrator)
от 12.1.0 до 12.1.5.3 (BIG-IP SSL Orchestrator)
от 7.1.0 до 7.1.0.3 (BIG-IQ Centralized Management)
от 7.0.0 до 7.0.0.2 (BIG-IQ Centralized Management)
от 16.0.0 до 16.0.1.1 (BIG-IP LTM)
от 15.1.0 до 15.1.2.1 (BIG-IP LTM)
от 14.1.0 до 14.1.4 (BIG-IP LTM)
от 13.1.0 до 13.1.3.6 (BIG-IP LTM)
от 12.1.0 до 12.1.5.3 (BIG-IP LTM)
от 16.0.0 до 16.0.1 (BIG-IP Application Acceleration Manager)

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое средство
Средство защиты
Программное средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://support.f5.com/csp/article/K03009991

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94485
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-22986

CVSS3: 9.8
nvd
почти 5 лет назад

On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3.6, and 12.1.x before 12.1.5.3 amd BIG-IQ 7.1.0.x before 7.1.0.3 and 7.0.0.x before 7.0.0.2, the iControl REST interface has an unauthenticated remote command execution vulnerability. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated.

github логотип

GHSA-8489-vwcj-fxfr

CVSS3: 9.8
github
больше 3 лет назад

On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3.6, and 12.1.x before 12.1.5.3 amd BIG-IQ 7.1.0.x before 7.1.0.3 and 7.0.0.x before 7.0.0.2, the iControl REST interface has an unauthenticated remote command execution vulnerability. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated.

EPSS

Процентиль: 100%
0.94485
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2