exploitDog

CVE-2018-5502

Опубликовано: 22 мар. 2018

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Описание

On F5 BIG-IP versions 13.0.0 - 13.1.0.3, attackers may be able to disrupt services on the BIG-IP system with maliciously crafted client certificate. This vulnerability affects virtual servers associated with Client SSL profile which enables the use of client certificate authentication. Client certificate authentication is not enabled by default in Client SSL profile. There is no control plane exposure.

Ссылки

http://www.securitytracker.com/id/1040561
Third Party Advisory
VDB Entry
https://support.f5.com/csp/article/K43121447
Vendor Advisory
http://www.securitytracker.com/id/1040561
Third Party Advisory
VDB Entry
https://support.f5.com/csp/article/K43121447
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:*

Версия от 13.0.0 (включая) до 13.1.0.4 (исключая)

cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:*

Версия от 13.0.0 (включая) до 13.1.0.4 (исключая)

cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:*

Версия от 13.0.0 (включая) до 13.1.0.4 (исключая)

cpe:2.3:a:f5:big-ip_application_acceleration_manager:*:*:*:*:*:*:*:*

Версия от 13.0.0 (включая) до 13.1.0.4 (исключая)

cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:*

Версия от 13.0.0 (включая) до 13.1.0.4 (исключая)

cpe:2.3:a:f5:big-ip_domain_name_system:*:*:*:*:*:*:*:*

Версия от 13.0.0 (включая) до 13.1.0.4 (включая)

cpe:2.3:a:f5:big-ip_edge_gateway:*:*:*:*:*:*:*:*

Версия от 13.0.0 (включая) до 13.1.0.4 (исключая)

cpe:2.3:a:f5:big-ip_global_traffic_manager:*:*:*:*:*:*:*:*

Версия от 13.0.0 (включая) до 13.1.0.4 (исключая)

cpe:2.3:a:f5:big-ip_link_controller:*:*:*:*:*:*:*:*

Версия от 13.0.0 (включая) до 13.1.0.4 (исключая)

cpe:2.3:a:f5:big-ip_local_traffic_manager:*:*:*:*:*:*:*:*

Версия от 13.0.0 (включая) до 13.1.0.4 (исключая)

cpe:2.3:a:f5:big-ip_policy_enforcement_manager:*:*:*:*:*:*:*:*

Версия от 13.0.0 (включая) до 13.1.0.4 (исключая)

cpe:2.3:a:f5:big-ip_webaccelerator:*:*:*:*:*:*:*:*

Версия от 13.0.0 (включая) до 13.1.0.4 (исключая)

cpe:2.3:a:f5:big-ip_websafe:1.0.0:*:*:*:*:*:*:*

EPSS

Процентиль: 61%

0.00418

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-295

Связанные уязвимости

GHSA-4m7m-7666-wr24

CVSS3: 7.5

github

больше 3 лет назад

On F5 BIG-IP versions 13.0.0 - 13.1.0.3, attackers may be able to disrupt services on the BIG-IP system with maliciously crafted client certificate. This vulnerability affects virtual servers associated with Client SSL profile which enables the use of client certificate authentication. Client certificate authentication is not enabled by default in Client SSL profile. There is no control plane exposure.

EPSS

Процентиль: 61%

0.00418

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-295