Описание
Command injection vulnerability exists in iControl REST and BIG-IP TMOS Shell (tmsh) save command, which may allow an authenticated attacker to execute arbitrary system commands.
Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
Ссылки
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)Версия от 15.1.0 (включая) до 15.1.10.6 (исключая)
Одно из
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_advanced_web_application_firewall:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_application_acceleration_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_application_visibility_and_reporting:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_automation_toolchain:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_carrier-grade_nat:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_container_ingress_services:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_ddos_hybrid_defender:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_domain_name_system:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_edge_gateway:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_fraud_protection_service:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_global_traffic_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_link_controller:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_local_traffic_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_ssl_orchestrator:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_webaccelerator:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_websafe:*:*:*:*:*:*:*:*
Конфигурация 2Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)Версия от 16.1.0 (включая) до 16.1.5.2 (исключая)
Одно из
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_advanced_web_application_firewall:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_application_acceleration_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_application_visibility_and_reporting:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_automation_toolchain:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_carrier-grade_nat:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_container_ingress_services:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_ddos_hybrid_defender:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_domain_name_system:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_edge_gateway:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_fraud_protection_service:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_global_traffic_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_link_controller:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_local_traffic_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_ssl_orchestrator:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_webaccelerator:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_websafe:*:*:*:*:*:*:*:*
Конфигурация 3Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)Версия от 17.1.0 (включая) до 17.1.2.1 (исключая)
Одно из
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_advanced_web_application_firewall:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_application_acceleration_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_application_visibility_and_reporting:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_automation_toolchain:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_carrier-grade_nat:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_container_ingress_services:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_ddos_hybrid_defender:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_domain_name_system:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_edge_gateway:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_fraud_protection_service:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_global_traffic_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_link_controller:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_local_traffic_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_ssl_orchestrator:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_webaccelerator:*:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_websafe:*:*:*:*:*:*:*:*
EPSS
Процентиль: 98%
0.58328
Средний
8.8 High
CVSS3
Дефекты
CWE-78
Связанные уязвимости
CVSS3: 8.8
github
около 1 года назад
Command injection vulnerability exists in iControl REST and BIG-IP TMOS Shell (tmsh) save command, which may allow an authenticated attacker to execute arbitrary system commands. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
CVSS3: 8.8
fstec
около 1 года назад
Уязвимость утилиты конфигурации TMOS Shell (tmsh) интерфейса IControl REST редства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, а также программных средств, BIG-IP Advanced Firewall Manager, BIG-IP Advanced Web Application Firewall, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager, BIG-IP Application Visibility and Reporting (AVR), BIG-IP Camer-Grade NAT (CGNAT), BIG-IP DDos Hybrid Defender, BIG-IP Domain Name System, BIG-IP Edge Gateway, BIG-IP Fraud Protection Service, BIG-IP Global Traffic Manager, BIG-IP Link Controller, BIG-IP Local Traffic Manager, BIG-IP Policy Inforcement Manager, BIG-IP SSL Orchestrator, BIG-IP Webaccelerator, BIG-IP WebSafe, позволяющая нарушителю выполнять произвольные команды
EPSS
Процентиль: 98%
0.58328
Средний
8.8 High
CVSS3
Дефекты
CWE-78