Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2024-21782

Опубликовано: 14 фев. 2024
Источник: nvd
CVSS3: 6.7
EPSS Низкий

Описание

BIG-IP or BIG-IQ Resource Administrators and Certificate Managers who have access to the secure copy (scp) utility but do not have access to Advanced shell (bash) can execute arbitrary commands with a specially crafted command string. This vulnerability is due to an incomplete fix for CVE-2020-5873.

Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:*
Версия от 15.1.0 (включая) до 15.1.9 (исключая)
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:*
Версия от 16.1.0 (включая) до 16.1.4 (исключая)
cpe:2.3:a:f5:big-ip_access_policy_manager:17.1.0:*:*:*:*:*:*:*
Конфигурация 2
cpe:2.3:a:f5:big-iq_centralized_management:*:*:*:*:*:*:*:*
Версия от 8.0.0 (включая) до 8.3.0 (включая)
Конфигурация 3

Одно из

cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:*
Версия от 15.1.0 (включая) до 15.1.9 (исключая)
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:*
Версия от 16.1.0 (включая) до 16.1.4 (исключая)
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:17.1.0:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:*
Версия от 15.1.0 (включая) до 15.1.9 (исключая)
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:*
Версия от 16.1.0 (включая) до 16.1.4 (исключая)
cpe:2.3:a:f5:big-ip_analytics:17.1.0:*:*:*:*:*:*:*
Конфигурация 5

Одно из

cpe:2.3:a:f5:big-ip_application_acceleration_manager:*:*:*:*:*:*:*:*
Версия от 15.1.0 (включая) до 15.1.9 (исключая)
cpe:2.3:a:f5:big-ip_application_acceleration_manager:*:*:*:*:*:*:*:*
Версия от 16.1.0 (включая) до 16.1.4 (исключая)
cpe:2.3:a:f5:big-ip_application_acceleration_manager:17.1.0:*:*:*:*:*:*:*
Конфигурация 6

Одно из

cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:*
Версия от 15.1.0 (включая) до 15.1.9 (исключая)
cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:*
Версия от 16.1.0 (включая) до 16.1.4 (исключая)
cpe:2.3:a:f5:big-ip_application_security_manager:17.1.0:*:*:*:*:*:*:*
Конфигурация 7

Одно из

cpe:2.3:a:f5:big-ip_domain_name_system:*:*:*:*:*:*:*:*
Версия от 15.1.0 (включая) до 15.1.9 (исключая)
cpe:2.3:a:f5:big-ip_domain_name_system:*:*:*:*:*:*:*:*
Версия от 16.1.0 (включая) до 16.1.4 (исключая)
cpe:2.3:a:f5:big-ip_domain_name_system:17.1.0:*:*:*:*:*:*:*
Конфигурация 8

Одно из

cpe:2.3:a:f5:big-ip_fraud_protection_service:*:*:*:*:*:*:*:*
Версия от 15.1.0 (включая) до 15.1.9 (исключая)
cpe:2.3:a:f5:big-ip_fraud_protection_service:*:*:*:*:*:*:*:*
Версия от 16.1.0 (включая) до 16.1.4 (исключая)
cpe:2.3:a:f5:big-ip_fraud_protection_service:17.1.0:*:*:*:*:*:*:*
Конфигурация 9

Одно из

cpe:2.3:a:f5:big-ip_global_traffic_manager:*:*:*:*:*:*:*:*
Версия от 15.1.0 (включая) до 15.1.9 (исключая)
cpe:2.3:a:f5:big-ip_global_traffic_manager:*:*:*:*:*:*:*:*
Версия от 16.1.0 (включая) до 16.1.4 (исключая)
cpe:2.3:a:f5:big-ip_global_traffic_manager:17.1.0:*:*:*:*:*:*:*
Конфигурация 10

Одно из

cpe:2.3:a:f5:big-ip_link_controller:*:*:*:*:*:*:*:*
Версия от 15.1.0 (включая) до 15.1.9 (исключая)
cpe:2.3:a:f5:big-ip_link_controller:*:*:*:*:*:*:*:*
Версия от 16.1.0 (включая) до 16.1.4 (исключая)
cpe:2.3:a:f5:big-ip_link_controller:17.1.0:*:*:*:*:*:*:*
Конфигурация 11

Одно из

cpe:2.3:a:f5:big-ip_local_traffic_manager:*:*:*:*:*:*:*:*
Версия от 15.1.0 (включая) до 15.1.9 (исключая)
cpe:2.3:a:f5:big-ip_local_traffic_manager:*:*:*:*:*:*:*:*
Версия от 16.1.0 (включая) до 16.1.4 (исключая)
cpe:2.3:a:f5:big-ip_local_traffic_manager:17.1.0:*:*:*:*:*:*:*
Конфигурация 12

Одно из

cpe:2.3:a:f5:big-ip_policy_enforcement_manager:*:*:*:*:*:*:*:*
Версия от 15.1.0 (включая) до 15.1.9 (исключая)
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:*:*:*:*:*:*:*:*
Версия от 16.1.0 (включая) до 16.1.4 (исключая)
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:17.1.0:*:*:*:*:*:*:*

EPSS

Процентиль: 21%
0.00069
Низкий

6.7 Medium

CVSS3

Дефекты

CWE-78
CWE-78

Связанные уязвимости

github логотип

GHSA-45mm-4h6g-jrc9

CVSS3: 6.7
github
почти 2 года назад

BIG-IP or BIG-IQ Resource Administrators and Certificate Managers who have access to the secure copy (scp) utility but do not have access to Advanced shell (bash) can execute arbitrary commands with a specially crafted command string. This vulnerability is due to an incomplete fix for CVE-2020-5873. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated

fstec логотип

BDU:2024-01718

CVSS3: 6.7
fstec
почти 2 года назад

Уязвимость утилиты безопасного копирования (scp) средства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, а также программных средств, BIG-IP Advanced Firewall Manager, BIG-IP Advanced Web Application Firewall, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager, BIG-IP Application Visibility and Reporting (AVR), BIG-IP Camer-Grade NAT (CGNAT), BIG-IP DDos Hybrid Defender, BIG-IP Domain Name System, BIG-IP Edge Gateway, BIG-IP Fraud Protection Service, BIG-IP Global Traffic Manager, BIG-IP Link Controller, BIG-IP Local Traffic Manager, BIG-IP Policy Inforcement Manager, BIG-IP SSL Orchestrator, BIG-IP Webaccelerator, BIG-IP WebSafe, связанная с неограниченным распределением ресурсов, позволяющая нарушителю выполнить произвольные команды

EPSS

Процентиль: 21%
0.00069
Низкий

6.7 Medium

CVSS3

Дефекты

CWE-78
CWE-78