Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02674

Опубликовано: 03 мая 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость интерфейса Traffic Management User Interface (TMUI) программных средств BIG-IP Advanced Firewall Manager, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager, BIG-IP Hybrid Defender, BIG-IP Domain Name System связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки

Вендор

F5 Networks, Inc.

Наименование ПО

BIG-IP Access Policy Manager
BIG-IP Advanced Firewall Manager
BIG-IP Analytics
BIG-IP Application Acceleration Manager
BIG-IP Application Security Manager
BIG-IP Domain Name System
BIG-IP Fraud Protection Service
BIG-IP Global Traffic Manager
BIG-IP Link Controller
BIG-IP Local Traffic Manager
BIG-IP Policy Enforcement Manager
BIG-IP Advanced Web Application Firewall
BIG-IP Edge Gateway
BIG-IP DDos Hybrid Defender
BIG-IP WebSafe
BIG-IP Webaccelerator
BIG-IP SSL Orchestrator
BIG-IP Application Visibility and Reporting (AVR)
BIG-IP Carrier-Grade NAT (CGNAT)

Версия ПО

от 13.1.0 до 13.1.5 включительно (BIG-IP Access Policy Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Advanced Firewall Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Analytics)
от 13.1.0 до 13.1.5 включительно (BIG-IP Application Acceleration Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Application Security Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Domain Name System)
от 13.1.0 до 13.1.5 включительно (BIG-IP Fraud Protection Service)
от 13.1.0 до 13.1.5 включительно (BIG-IP Global Traffic Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Link Controller)
от 13.1.0 до 13.1.5 включительно (BIG-IP Local Traffic Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Policy Enforcement Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Access Policy Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Access Policy Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Access Policy Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Advanced Firewall Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Advanced Firewall Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Advanced Firewall Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Analytics)
от 15.1.0 до 15.1.8 включительно (BIG-IP Analytics)
от 16.1.0 до 16.1.3 включительно (BIG-IP Analytics)
от 14.1.0 до 14.1.5 включительно (BIG-IP Application Acceleration Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Application Acceleration Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Application Acceleration Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Fraud Protection Service)
от 15.1.0 до 15.1.8 включительно (BIG-IP Fraud Protection Service)
от 16.1.0 до 16.1.3 включительно (BIG-IP Fraud Protection Service)
от 16.1.0 до 16.1.3 включительно (BIG-IP Global Traffic Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Global Traffic Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Global Traffic Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Link Controller)
от 15.1.0 до 15.1.8 включительно (BIG-IP Link Controller)
от 16.1.0 до 16.1.3 включительно (BIG-IP Link Controller)
от 14.1.0 до 14.1.5 включительно (BIG-IP Local Traffic Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Local Traffic Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Local Traffic Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Policy Enforcement Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Policy Enforcement Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Policy Enforcement Manager)
от 17.0.0 до 17.1.0 включительно (BIG-IP Advanced Firewall Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Application Security Manager)
от 15.1.0 до 15.1.8 включительно (BIG-IP Application Security Manager)
от 16.1.0 до 16.1.3 включительно (BIG-IP Application Security Manager)
от 17.0.0 до 17.1.0 включительно (BIG-IP Application Security Manager)
от 17.0.0 до 17.1.0 включительно (BIG-IP Application Acceleration Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Advanced Web Application Firewall)
от 14.1.0 до 14.1.5 включительно (BIG-IP Advanced Web Application Firewall)
от 15.1.0 до 15.1.8 включительно (BIG-IP Advanced Web Application Firewall)
от 16.1.0 до 16.1.3 включительно (BIG-IP Advanced Web Application Firewall)
от 17.0.0 до 17.1.0 включительно (BIG-IP Advanced Web Application Firewall)
от 17.0.0 до 17.1.0 включительно (BIG-IP Analytics)
от 17.0.0 до 17.1.0 включительно (BIG-IP Access Policy Manager)
от 14.1.0 до 14.1.5 включительно (BIG-IP Domain Name System)
от 15.1.0 до 15.1.8 включительно (BIG-IP Domain Name System)
от 16.1.0 до 16.1.3 включительно (BIG-IP Domain Name System)
от 17.0.0 до 17.1.0 включительно (BIG-IP Domain Name System)
от 17.0.0 до 17.1.0 включительно (BIG-IP Edge Gateway)
от 16.1.0 до 16.1.3 включительно (BIG-IP Edge Gateway)
от 15.1.0 до 15.1.8 включительно (BIG-IP Edge Gateway)
от 14.1.0 до 14.1.5 включительно (BIG-IP Edge Gateway)
от 13.1.0 до 13.1.5 включительно (BIG-IP Edge Gateway)
от 17.0.0 до 17.1.0 включительно (BIG-IP Fraud Protection Service)
от 17.0.0 до 17.1.0 включительно (BIG-IP Global Traffic Manager)
от 17.0.0 до 17.1.0 включительно (BIG-IP Link Controller)
от 17.0.0 до 17.1.0 включительно (BIG-IP DDos Hybrid Defender)
от 16.1.0 до 16.1.3 включительно (BIG-IP DDos Hybrid Defender)
от 15.1.0 до 15.1.8 включительно (BIG-IP DDos Hybrid Defender)
от 14.1.0 до 14.1.5 включительно (BIG-IP DDos Hybrid Defender)
от 13.1.0 до 13.1.5 включительно (BIG-IP DDos Hybrid Defender)
от 13.1.0 до 13.1.5 включительно (BIG-IP WebSafe)
от 14.1.0 до 14.1.5 включительно (BIG-IP WebSafe)
от 15.1.0 до 15.1.8 включительно (BIG-IP WebSafe)
от 16.1.0 до 16.1.3 включительно (BIG-IP WebSafe)
от 17.0.0 до 17.1.0 включительно (BIG-IP WebSafe)
от 13.1.0 до 13.1.5 включительно (BIG-IP Webaccelerator)
от 14.1.0 до 14.1.5 включительно (BIG-IP Webaccelerator)
от 15.1.0 до 15.1.8 включительно (BIG-IP Webaccelerator)
от 16.1.0 до 16.1.3 включительно (BIG-IP Webaccelerator)
от 17.0.0 до 17.1.0 включительно (BIG-IP Webaccelerator)
от 13.1.0 до 13.1.5 включительно (BIG-IP SSL Orchestrator)
от 14.1.0 до 14.1.5 включительно (BIG-IP SSL Orchestrator)
от 15.1.0 до 15.1.8 включительно (BIG-IP SSL Orchestrator)
от 16.1.0 до 16.1.3 включительно (BIG-IP SSL Orchestrator)
от 17.0.0 до 17.1.0 включительно (BIG-IP SSL Orchestrator)
от 17.0.0 до 17.1.0 включительно (BIG-IP Policy Enforcement Manager)
от 17.0.0 до 17.1.0 включительно (BIG-IP Local Traffic Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Application Visibility and Reporting (AVR))
от 14.1.0 до 14.1.5 включительно (BIG-IP Application Visibility and Reporting (AVR))
от 15.1.0 до 15.1.8 включительно (BIG-IP Application Visibility and Reporting (AVR))
от 16.1.0 до 16.1.3 включительно (BIG-IP Application Visibility and Reporting (AVR))
от 17.0.0 до 17.1.0 включительно (BIG-IP Application Visibility and Reporting (AVR))
от 13.1.0 до 13.1.5 включительно (BIG-IP Carrier-Grade NAT (CGNAT))
от 14.1.0 до 14.1.5 включительно (BIG-IP Carrier-Grade NAT (CGNAT))
от 15.1.0 до 15.1.8 включительно (BIG-IP Carrier-Grade NAT (CGNAT))
от 16.1.0 до 16.1.3 включительно (BIG-IP Carrier-Grade NAT (CGNAT))
от 17.0.0 до 17.1.0 включительно (BIG-IP Carrier-Grade NAT (CGNAT))

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое средство
Средство защиты
Программное средство защиты
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://my.f5.com/manage/s/article/K000132726

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 63%
0.00443
Низкий

7.5 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-27378

CVSS3: 7.5
nvd
почти 3 года назад

Multiple reflected cross-site scripting (XSS) vulnerabilities exist in undisclosed pages of the BIG-IP Configuration utility which allow an attacker to run JavaScript in the context of the currently logged-in user.  Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

github логотип

GHSA-mr98-3f93-6qw6

CVSS3: 7.5
github
больше 2 лет назад

Multiple reflected cross-site scripting (XSS) vulnerabilities exist in undisclosed pages of the BIG-IP Configuration utility which allow an attacker to run JavaScript in the context of the currently logged-in user.  Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

EPSS

Процентиль: 63%
0.00443
Низкий

7.5 High

CVSS3

7.1 High

CVSS2