Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-22374

Опубликовано: 01 фев. 2023
Источник: nvd
CVSS3: 8.5
EPSS Низкий

Описание

A format string vulnerability exists in iControl SOAP that allows an authenticated attacker to crash the iControl SOAP CGI process or, potentially execute arbitrary code. In appliance mode BIG-IP, a successful exploit of this vulnerability can allow the attacker to cross a security boundary.  Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:*
Версия от 14.1.4.6 (включая) до 14.1.5 (включая)
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:*
Версия от 15.1.5.1 (включая) до 15.1.8 (включая)
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:*
Версия от 16.1.2.2 (включая) до 16.1.3 (включая)
cpe:2.3:a:f5:big-ip_access_policy_manager:13.1.5:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_access_policy_manager:17.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:*
Версия от 14.1.4.6 (включая) до 14.1.5 (включая)
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:*
Версия от 15.1.5.1 (включая) до 15.1.8 (включая)
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:*
Версия от 16.1.2.2 (включая) до 16.1.3 (включая)
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:13.1.5:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:17.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:*
Версия от 14.1.4.6 (включая) до 14.1.5 (включая)
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:*
Версия от 15.1.5.1 (включая) до 15.1.8 (включая)
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:*
Версия от 16.1.2.2 (включая) до 16.1.3 (включая)
cpe:2.3:a:f5:big-ip_analytics:13.1.5:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_analytics:17.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_application_acceleration_manager:*:*:*:*:*:*:*:*
Версия от 15.1.5.1 (включая) до 15.1.8 (включая)
cpe:2.3:a:f5:big-ip_application_acceleration_manager:*:*:*:*:*:*:*:*
Версия от 16.1.2.2 (включая) до 16.1.3 (включая)
cpe:2.3:a:f5:big-ip_application_acceleration_manager:13.1.5:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_application_acceleration_manager:17.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:*
Версия от 14.1.4.6 (включая) до 14.1.5 (включая)
cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:*
Версия от 15.1.5.1 (включая) до 15.1.8 (включая)
cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:*
Версия от 16.1.2.2 (включая) до 16.1.3 (включая)
cpe:2.3:a:f5:big-ip_application_security_manager:13.1.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_application_security_manager:17.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_ddos_hybrid_defender:*:*:*:*:*:*:*:*
Версия от 14.1.4.6 (включая) до 14.1.5 (включая)
cpe:2.3:a:f5:big-ip_ddos_hybrid_defender:*:*:*:*:*:*:*:*
Версия от 15.1.5.1 (включая) до 15.1.8 (включая)
cpe:2.3:a:f5:big-ip_ddos_hybrid_defender:*:*:*:*:*:*:*:*
Версия от 16.1.2.2 (включая) до 16.1.3 (включая)
cpe:2.3:a:f5:big-ip_ddos_hybrid_defender:13.1.5:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_domain_name_system:*:*:*:*:*:*:*:*
Версия от 14.1.4.6 (включая) до 14.1.5 (включая)
cpe:2.3:a:f5:big-ip_domain_name_system:*:*:*:*:*:*:*:*
Версия от 15.1.5.1 (включая) до 15.1.8 (включая)
cpe:2.3:a:f5:big-ip_domain_name_system:*:*:*:*:*:*:*:*
Версия от 16.1.2.2 (включая) до 16.1.3 (включая)
cpe:2.3:a:f5:big-ip_domain_name_system:17.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_fraud_protection_service:*:*:*:*:*:*:*:*
Версия от 15.1.5.1 (включая) до 15.1.8 (включая)
cpe:2.3:a:f5:big-ip_fraud_protection_service:*:*:*:*:*:*:*:*
Версия от 16.1.2.2 (включая) до 16.1.3 (включая)
cpe:2.3:a:f5:big-ip_fraud_protection_service:13.1.5:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_fraud_protection_service:17.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_link_controller:*:*:*:*:*:*:*:*
Версия от 14.1.4.6 (включая) до 14.1.5 (включая)
cpe:2.3:a:f5:big-ip_link_controller:*:*:*:*:*:*:*:*
Версия от 15.1.5.1 (включая) до 15.1.8 (включая)
cpe:2.3:a:f5:big-ip_link_controller:*:*:*:*:*:*:*:*
Версия от 16.1.2.2 (включая) до 16.1.3 (включая)
cpe:2.3:a:f5:big-ip_link_controller:13.1.5:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_link_controller:17.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_local_traffic_manager:*:*:*:*:*:*:*:*
Версия от 14.1.4.6 (включая) до 14.1.5 (включая)
cpe:2.3:a:f5:big-ip_local_traffic_manager:*:*:*:*:*:*:*:*
Версия от 15.1.5.1 (включая) до 15.1.8 (включая)
cpe:2.3:a:f5:big-ip_local_traffic_manager:*:*:*:*:*:*:*:*
Версия от 16.1.2.2 (включая) до 16.1.3 (включая)
cpe:2.3:a:f5:big-ip_local_traffic_manager:13.1.5:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_local_traffic_manager:17.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:*:*:*:*:*:*:*:*
Версия от 14.1.4.6 (включая) до 14.1.5 (включая)
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:*:*:*:*:*:*:*:*
Версия от 15.1.5.1 (включая) до 15.1.8 (включая)
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:*:*:*:*:*:*:*:*
Версия от 16.1.2.2 (включая) до 16.1.3 (включая)
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:13.1.5:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:17.0.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_ssl_orchestrator:*:*:*:*:*:*:*:*
Версия от 14.1.4.6 (включая) до 14.1.5 (включая)
cpe:2.3:a:f5:big-ip_ssl_orchestrator:*:*:*:*:*:*:*:*
Версия от 15.1.5.1 (включая) до 15.1.8 (включая)
cpe:2.3:a:f5:big-ip_ssl_orchestrator:*:*:*:*:*:*:*:*
Версия от 16.1.2.2 (включая) до 16.1.3 (включая)
cpe:2.3:a:f5:big-ip_ssl_orchestrator:13.1.5:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_ssl_orchestrator:17.0.0:*:*:*:*:*:*:*

EPSS

Процентиль: 90%
0.0508
Низкий

8.5 High

CVSS3

Дефекты

CWE-134
CWE-134

Связанные уязвимости

github логотип

GHSA-j683-v94g-h65c

CVSS3: 9.9
github
около 3 лет назад

In BIG-IP starting in versions 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6, and 13.1.5 on their respective branches, a format string vulnerability exists in iControl SOAP that allows an authenticated attacker to crash the iControl SOAP CGI process or, potentially execute arbitrary code. In appliance mode BIG-IP, a successful exploit of this vulnerability can allow the attacker to cross a security boundary. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

fstec логотип

BDU:2023-08341

CVSS3: 8.5
fstec
около 3 лет назад

Уязвимость интерфейса iControl SOAP средств контроля доступа и удаленной аутентификации BIG-IP, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 90%
0.0508
Низкий

8.5 High

CVSS3

Дефекты

CWE-134
CWE-134