受影响的产品版本包括F5 BIG-IP 11.6.1至16.1.2。 CVE-2023-22374:由于在BIG-IP iControl SOAP中存在格式字符串漏洞,具有管理员权限的远程攻击者可通过BIG-IP管理端口或自身IP地址对iControl SOAP接口进行网络访问,从而实现执行任意命令或拒绝服务攻击。同时,在设备模式BIG-IP中,攻击者成功利用此漏洞可以跨越安全边...
F5 BIG-IP 安全漏洞来源于cnnvd,是2021-03-19发布的漏洞。漏洞评分 漏洞描述 F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP TMM Fragmented IP Traffic Drop 存在安全漏洞,攻击者可利用该漏洞可以通过F5 BIG-IP的TMM分片IP流量下降触发致命错误,...
F5 BIG-IP/BIG-IQ iControl REST 未授权远程代码执行漏洞中,未经身份验证的攻击者可通过iControl REST接口,构造恶意请求,执行任意系统命令。 0x02影响版本 F5 BIG-IP 16.0.0-16.0.1 F5 BIG-IP 15.1.0-15.1.2 F5 BIG-IP 14.1.0-14.1.3.1 F5 BIG-IP 13.1.0-13.1.3.5 F5 BIG-IP 12.1.0-12.1.5.2 F5...
F5 BIG-IP通过Apache httpd转发Traffic Management User Interface (TMUI) ,请求到"/tmui"的请求会被转发到AJP协议的 8009 端口。由于存在请求走私问题,攻击者可以绕过权限验证,执行任意代码,获取服务器权限。公开时间:2023-10-27 漏洞影响 BIG-IP全版本。如下:...
3月11日,绿盟科技监测到F5官方发布安全通告,修复了影响F5的BIG-IP和BIG-IQ的多个高危漏洞(CVE-2021-22986,CVE-2021-22987,CVE-2021-22988,CVE-2021-22989,CVE-2021-22990,CVE-2021-22991,CVE-2021-22992),建议相关用户采取措施进行防护。 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负...
近期,网络安全和基础设施安全局(CISA)发布警报,提醒注意F5 BIG-IP Local Traffic Manager(LTM)模块中未加密的持久性Cookie漏洞。 F5 BIG-IP套件广泛用于管理和保护网络流量,这使得此漏洞成为使用该系统的组织的重要关注点。 根据CISA的说法,已经观察到黑客利用未加密的持久性cookie来列举和推断网络上其他不直接面向互联...
近日,应用交付领域(ADN)全球领导者F5公司发布了一项安全警告,其研究团队监测到一个关键漏洞正在被积极利用。漏洞的追踪代码为CVE-2022-1388,CVSS 3.0评分为9.8,危险等级非常高。该漏洞允许未经身份验证的网络攻击者执行任意系统命令,执行文件操作,并禁用BIG-IP上的服务。根据F5的安全研究显示,这个漏洞存在于i...
此漏洞可能允许未经身份验证的攻击者通过管理端口和/或自身 IP 地址对 BIG-IP 系统进行网络访问,以执行任意系统命令、创建或删除文件或禁用服务。没有数据平面暴露;这只是一个控制平面问题。 三、安全咨询状态: F5 Product Development 已为此漏洞分配了 ID 1033837、1051561 和 1052837 (BIG-IP)。此问题已归类为CWE...
2022年11月16日,F5官方公布了F5 BIG-IP和BIG-IQ设备中的多个安全漏洞。其中高危漏洞(CVE-2022-41622,CVSS评分8.8)是iControl SOAP跨站点请求伪造,可允许未经身份验证的远程代码执行攻击。高危漏洞(CVE-2022-41800,CVSS评分8.7)为iControl REST远程代码执行漏洞,允许经过身份验证的管理员用户通过RPM注入执行任意代码。