BDU:2023-01143

Опубликовано: 01 фев. 2023

Источник: fstec

CVSS3: 4.9

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость средства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, а также программных средств BIG-IP Advanced Firewall Manager, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager, BIG-IP Hybrid Defender, BIG-IP Domain Name System, BIG-IP Fraud Protection Service, BIG-IP Link Controller, BIG-IP Local Traffic Manager, BIG-IP Policy Enforcement Manager, BIG-IP Orchestrator, связана с ошибками обработки данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к конфиденциальным данным

Вендор

F5 Networks, Inc.

Наименование ПО

BIG-IP Advanced Firewall Manager

BIG-IP Application Security Manager

BIG-IP Link Controller

BIG-IP Local Traffic Manager

BIG-IP Policy Enforcement Manager

BIG-IP Fraud Protection Service

BIG-IP DDos Hybrid Defender

BIG-IP SSL Orchestrator

BIG-IP Access Policy Manager

BIG-IP Analytics

BIG-IP Application Acceleration Manager

BIG-IP Domain Name System

Версия ПО

от 13.1.0 до 13.1.5 (BIG-IP Advanced Firewall Manager)

от 13.1.0 до 13.1.5 (BIG-IP Application Security Manager)

от 13.1.0 до 13.1.5 (BIG-IP Link Controller)

от 13.1.0 до 13.1.5 (BIG-IP Local Traffic Manager)

от 13.1.0 до 13.1.5 (BIG-IP Policy Enforcement Manager)

от 13.1.0 до 13.1.5 (BIG-IP Fraud Protection Service)

от 13.1.0 до 13.1.5 (BIG-IP DDos Hybrid Defender)

от 13.1.0 до 13.1.5 (BIG-IP SSL Orchestrator)

от 13.1.0 до 13.1.5 включительно (BIG-IP Access Policy Manager)

от 13.1.0 до 13.1.5 включительно (BIG-IP Analytics)

от 13.1.0 до 13.1.5 включительно (BIG-IP Application Acceleration Manager)

от 14.1.0 до 14.1.5.3 (BIG-IP Access Policy Manager)

от 16.1.0 до 16.1.3.3 (BIG-IP Access Policy Manager)

от 17.0.0 до 17.0.0.2 (BIG-IP Access Policy Manager)

от 14.1.0 до 14.1.5.3 (BIG-IP Advanced Firewall Manager)

от 16.1.0 до 16.1.3.3 (BIG-IP Advanced Firewall Manager)

от 17.0.0 до 17.0.0.2 (BIG-IP Advanced Firewall Manager)

от 14.1.0 до 14.1.5.3 (BIG-IP Analytics)

от 16.1.0 до 16.1.3.3 (BIG-IP Analytics)

от 17.0.0 до 17.0.0.2 (BIG-IP Analytics)

от 16.1.0 до 16.1.3.3 (BIG-IP Application Acceleration Manager)

от 17.0.0 до 17.0.0.2 (BIG-IP Application Acceleration Manager)

от 16.1.0 до 16.1.3.3 (BIG-IP Application Security Manager)

от 17.0.0 до 17.0 0.2 (BIG-IP Application Security Manager)

от 14.1.0 до 14.1.5.3 (BIG-IP DDos Hybrid Defender)

от 16.1.0 до 16.1.3.3 (BIG-IP DDos Hybrid Defender)

от 14.1.0 до 14.1.5.3 (BIG-IP Domain Name System)

от 16.1.0 до 16.1.3.3 (BIG-IP Domain Name System)

от 17.0.0 до 17.0.0.2 (BIG-IP Domain Name System)

от 16.1.0 до 16. 1.3.3 (BIG-IP Fraud Protection Service)

от 17.0.0 до 17.0.0.2 (BIG-IP Fraud Protection Service)

от 16.1.0 до 16.1.3.3 (BIG-IP Link Controller)

от 17.0.0 до 17.0.0.2 (BIG-IP Link Controller)

от 14.1.0 до 14.1.5.3 (BIG-IP Local Traffic Manager)

от 16.1.0 до 16.1.3.3 (BIG-IP Local Traffic Manager)

от 17.0.0 до 17.0.0.2 (BIG-IP Local Traffic Manager)

от 14.1.0 до 14.1.5.3 (BIG-IP Policy Enforcement Manager)

от 16.1.0 до 16.1.3.3 (BIG-IP Policy Enforcement Manager)

от 17.0.0 до 17.0.0.2 (BIG-IP Policy Enforcement Manager)

от 14.1.0 до 14.1.5.3 (BIG-IP SSL Orchestrator)

от 16.1.0 до 16.1.3.3 (BIG-IP SSL Orchestrator)

от 17.0.0 до 17.0.0.2 (BIG-IP SSL Orchestrator)

от 14.1.0 до 14.1.5.3 (BIG-IP Application Security Manager)

от 14.1.0 до 14.1.5.3 (BIG-IP Link Controller)

от 15.1.0 до 15.1.8.1 (BIG-IP Access Policy Manager)

от 15.1.0 до 15.1.8.1 (BIG-IP Advanced Firewall Manager)

от 15.1.0 до 15.1.8.1 (BIG-IP Analytics)

от 15.1.0 до 15.1.8.1 (BIG-IP Application Acceleration Manager)

от 15.1.0 до 15.1.8.1 (BIG-IP Application Security Manager)

от 15.1.0 до 15.1.8.1 (BIG-IP DDos Hybrid Defender)

от 15.1.0 до 15.1.8.1 (BIG-IP Domain Name System)

от 15.1.0 до 15.1.8.1 (BIG-IP Fraud Protection Service)

от 15.1.0 до 15.1.8.1 (BIG-IP Link Controller)

от 15.1.0 до 15.1.8.1 (BIG-IP Local Traffic Manager)

от 15.1.0 до 15.1.8.1 (BIG-IP Policy Enforcement Manager)

от 15.1.0 до 15.1.8.1 (BIG-IP SSL Orchestrator)

Тип ПО

ПО сетевого программно-аппаратного средства

Средство защиты

Программное средство защиты

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://my.f5.com/manage/s/article/K83284425

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://my.f5.com/manage/s/article/K83284425

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-22326
CVE

EPSS

Процентиль: 51%

0.00281

Низкий

4.9 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2023-22326

CVSS3: 4.9

nvd

около 3 лет назад

In BIG-IP versions 17.0.x before 17.0.0.2, 16.1.x before 16.1.3.3, 15.1.x before 15.1.8.1, 14.1.x before 14.1.5.3, and all versions of 13.1.x, and all versions of BIG-IQ 8.x and 7.1.x, incorrect permission assignment vulnerabilities exist in the iControl REST and TMOS shell (tmsh) dig command which may allow an authenticated attacker with resource administrator or administrator role privileges to view sensitive information. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

GHSA-jfw6-p8xv-wh65

CVSS3: 4.9

github

около 3 лет назад

EPSS

Процентиль: 51%

0.00281

Низкий

4.9 Medium

CVSS3

7.8 High

CVSS2