BDU:2025-04586

Опубликовано: 14 фев. 2024

Источник: fstec

CVSS3: 9.6

CVSS2: 8.5

EPSS Низкий

Описание

Уязвимость средства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, а также программных средств, BIG-IP Advanced Firewall Managerl, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager, BIG-IP Domain Name System, BIG-IP Link Controller, BIG-IP Local Traffic Manager, BIG-IP Policy Inforcement Manager, BIG-IQ Centralized Managment связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности

Вендор

F5 Networks, Inc.

Наименование ПО

BIG-IP Access Policy Manager

BIG-IP Advanced Firewall Manager

BIG-IP Analytics

BIG-IP Application Acceleration Manager

BIG-IP Application Security Manager

BIG-IP Domain Name System

BIG-IP Fraud Protection Service

BIG-IP Global Traffic Manager

BIG-IP Link Controller

BIG-IP Local Traffic Manager

BIG-IP Policy Enforcement Manager

BIG-IP Intrusion Prevention System

BIG-IQ Centralized Management

Версия ПО

17.1.0 (BIG-IP Access Policy Manager)

от 15.1.0 до 15.1.9 (BIG-IP Advanced Firewall Manager)

от 16.1.0 до 16.1.4 (BIG-IP Advanced Firewall Manager)

от 15.1.0 до 15.1.9 (BIG-IP Analytics)

от 16.1.0 до 16.1.4 (BIG-IP Analytics)

от 15.1.0 до 15.1.9 (BIG-IP Application Acceleration Manager)

от 16.1.0 до 16.1.4 (BIG-IP Application Acceleration Manager)

от 15.1.0 до 15.1.9 (BIG-IP Application Security Manager)

от 16.1.0 до 16.1.4 (BIG-IP Application Security Manager)

от 15.1.0 до 15.1.9 (BIG-IP Domain Name System)

от 16.1.0 до 16.1.4 (BIG-IP Domain Name System)

от 15.1.0 до 15.1.9 (BIG-IP Fraud Protection Service)

от 16.1.0 до 16.1.4 (BIG-IP Fraud Protection Service)

от 15.1.0 до 15.1.9 (BIG-IP Global Traffic Manager)

от 16.1.0 до 16.1.4 (BIG-IP Global Traffic Manager)

от 15.1.0 до 15.1.9 (BIG-IP Link Controller)

от 16.1.0 до 16.1.4 (BIG-IP Link Controller)

от 15.1.0 до 15.1.9 (BIG-IP Local Traffic Manager)

от 16.1.0 до 16.1.4 (BIG-IP Local Traffic Manager)

от 15.1.0 до 15.1.9 (BIG-IP Policy Enforcement Manager)

от 16.1.0 до 16.1.4 (BIG-IP Policy Enforcement Manager)

от 15.1.0 до 15.1.9 (BIG-IP Access Policy Manager)

от 16.1.0 до 16.1.4 (BIG-IP Access Policy Manager)

17.1.0 (BIG-IP Advanced Firewall Manager)

17.1.0 (BIG-IP Analytics)

17.1.0 (BIG-IP Application Acceleration Manager)

17.1.0 (BIG-IP Application Security Manager)

17.1.0 (BIG-IP Domain Name System)

17.1.0 (BIG-IP Fraud Protection Service)

17.1.0 (BIG-IP Global Traffic Manager)

17.1.0 (BIG-IP Link Controller)

17.1.0 (BIG-IP Local Traffic Manager)

17.1.0 (BIG-IP Policy Enforcement Manager)

до 17.1.0 (BIG-IP Intrusion Prevention System)

от 8.0.0 до 8.3.0 включительно (BIG-IQ Centralized Management)

Тип ПО

ПО сетевого программно-аппаратного средства

Сетевое средство

Средство защиты

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://my.f5.com/manage/s/article/K000137522

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-22093
CVE

EPSS

Процентиль: 55%

0.00323

Низкий

9.6 Critical

CVSS3

8.5 High

CVSS2

Связанные уязвимости

CVE-2024-22093

CVSS3: 8.7

nvd

почти 2 года назад

When running in appliance mode, an authenticated remote command injection vulnerability exists in an undisclosed iControl REST endpoint on multi-bladed systems. A successful exploit can allow the attacker to cross a security boundary. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated

GHSA-4x3g-wfmq-27q5