Big-ip Webaccelerator
Уязвимости
258
Эксплуатируемые
7
Макс. CVSS
9.9
Макс. EPSS
0.99999
Распределение по критичности
Критический
17
Высокий
130
Средний
107
Низкий
4
Затронутые диапазоны версий
10.0.0–10.2.410.1.0–10.2.410.2.1–10.2.411.0.0–11.3.011.1.0–11.3.011.2.1–11.5.511.2.1–11.5.611.2.1–11.6.311.2.1–11.6.411.5.0–11.5.511.5.0–11.5.611.5.0–11.5.911.5.1–11.5.411.5.1–11.5.511.5.1–11.5.611.5.1–11.5.811.5.1–11.5.911.5.1–11.6.311.5.1–11.6.3.211.5.1–11.6.3.411.5.1–11.6.411.5.1–11.6.511.5.1–11.6.5.111.5.2–11.5.8
Также сопоставлено как (исходные строки): big-ip_link_controller,big-ip_fraud_protection_service,big-ip_webaccelerator,big-ip_access_policy_manager,big-ip_advanced_firewall_manager,big-ip_analytics,big-ip_application_security_manager,big-ip_local_traffic_manager,big-ip_application_acceleration_manager,big-ip_domain_name_system,big-ip_edge_gateway,big-ip_global_traffic_manager
Топ уязвимостей
CVE-2023-41373В утилите настройки BIG-IP существует уязвимость, связанная с обходом каталогов, которая может позволить аутентифицированному злоумышленнику выполнять команды в системе BIG-IP. Для системы BIG-IP, работающей в режиме Appliance, успешная эксплуатация может позволить злоумышленнику пересечь границу безопасности.
Примечание: Версии программного обеспечения, для которых истек срок технической поддержки (EoTS), не оцениваются.
CVE-2023-46747Неопубликованные запросы могут обойти аутентификацию утилиты конфигурации, позволяя злоумышленнику с сетевым доступом к системе BIG-IP через управляемые порты и/или IP-адреса выполнять произвольные системные команды. Примечание: версии программного обеспечения, которые достигли конца технической поддержки (EoTS), не оцениваются.
CVE-2019-6609Специфическое для платформы слабое место. Эта проблема затрагивает только платформы iSeries. На этих платформах в BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator) версий 14.0.0-14.1.0.1, 13.0.0-13.1.1.3 и 12.1.1 HF2-12.1.4 не был установлен атрибут secureKeyCapable, что приводит к тому, что безопасное хранилище не использует аппаратную поддержку F5 для хранения ключа устройства. Вместо этого ключ устройства хранится в виде открытого текста на диске, как и в случае систем Z100. Кроме того, это приводит к тому, что ключ устройства хранится в UCS-файлах, снятых на этих платформах.
CVE-2018-5506В F5 BIG-IP 13.0.0, 12.1.0-12.1.2, 11.6.1, 11.5.1-11.5.5 или 11.2.1 модули Apache apache_auth_token_mod и mod_auth_f5_auth_token.cpp допускают возможный несанкционированный перебор параметров авторизации em_server_ip для получения SSL-сертификатов клиента, используемых для взаимной аутентификации между BIG-IQ или Enterprise Manager (EM) и управляемыми устройствами BIG-IP.
CVE-2016-5022F5 BIG-IP LTM, Analytics, APM, ASM и Link Controller 11.2.x до 11.2.1 HF16, 11.3.x, 11.4.x, 11.5.x до 11.5.4 HF2, 11.6.x до 11.6.1 HF1 и 12.x до 12.0.0 HF3; BIG-IP AAM, AFM и PEM 11.4.x, 11.5.x до 11.5.4 HF2, 11.6.x до 11.6.1 HF1 и 12.x до 12.0.0 HF3; BIG-IP DNS 12.x до 12.0.0 HF3; BIG-IP Edge Gateway, WebAccelerator и WOM 11.2.x до 11.2.1 HF16 и 11.3.0; BIG-IP GTM 11.2.x до 11.2.1 HF16, 11.3.x, 11.4.x, 11.5.x до 11.5.4 HF2 и 11.6.x до 11.6.1 HF1; BIG-IP PSM 11.2.x до 11.2.1 HF16, 11.3.x и 11.4.0 - 11.4.1; Enterprise Manager 3.1.1; BIG-IQ Cloud and Security 4.0.0 - 4.5.0; BIG-IQ Device 4.2.0 - 4.5.0; BIG-IQ ADC 4.5.0; BIG-IQ Centralized Management 5.0.0; BIG-IQ Cloud and Orchestration 1.0.0 и iWorkflow 2.0.0, когда фильтрация пакетов включена на виртуальных серверах и, возможно, на собственных IP-адресах, позволяют удаленным злоумышленникам вызвать отказ в обслуживании (перезапуск Traffic Management Microkernel) и, возможно, оказать другое неопределенное воздействие через специально созданный сетевой трафик.
CVE-2014-7169GNU Bash до 4.3 bash43-025 обрабатывает конечные строки после некоторых неправильно сформированных определений функций в значениях переменных среды, что позволяет удаленным злоумышленникам записывать в файлы или потенциально оказывать неизвестное другое воздействие через специально подготовленную среду, что продемонстрировано векторами, связанными с функцией ForceCommand в OpenSSH sshd, модулями mod_cgi и mod_cgid в Apache HTTP Server, скриптами, выполняемыми неуточненными DHCP-клиентами, и другими ситуациями, в которых установка окружения происходит через границу привилегий от выполнения Bash. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполной исправительной меры для CVE-2014-6271.
CVE-2014-6271GNU Bash до версии 4.3 обрабатывает завершающие строки после определений функций в значениях переменных окружения, что позволяет удаленным злоумышленникам выполнять произвольный код через подготовленную среду, что демонстрируется в векторах, связанных с функцией ForceCommand в OpenSSH sshd, модулях mod_cgi и mod_cgid в Apache HTTP Server, скриптах, выполняемых неопределенными клиентами DHCP, и других ситуациях, в которых происходит настройка среды через границу привилегий при выполнении Bash, также известная как "ShellShock." ПРИМЕЧАНИЕ: первоначальная исправленная версия этой проблемы была неверной; CVE-2014-7169 было присвоено для охвата уязвимости, которая все еще присутствует после неверного исправления.
CVE-2019-6644Аналогично проблеме, выявленной в CVE-2018-12120, в версиях 14.1.0-14.1.0.5, 14.0.0-14.0.0.4, 13.0.0-13.1.2 и 12.1.0-12.1.4 BIG-IP будет привязывать процесс отладки nodejs ко всем интерфейсам при вызове. Это может предоставить процесс неавторизованным пользователям, если плагин оставлен в режиме отладки, а порт доступен.
CVE-2014-2927Демон rsync в F5 BIG-IP 11.6 до 11.6.0, 11.5.1 до HF3, 11.5.0 до HF4, 11.4.1 до HF4, 11.4.0 до HF7, 11.3.0 до HF9 и 11.2.1 до HF11 и Enterprise Manager 3.x до 3.1.1 HF2, при настройке в режиме failover, не требует аутентификации, что позволяет удаленным злоумышленникам читать или записывать произвольные файлы через запрос cmi к IP-адресу ConfigSync.
CVE-2013-0150Уязвимость обхода каталогов в неуказанном подписанном апплете Java в клиентских компонентах F5 BIG-IP APM 10.1.0-10.2.4 и 11.0.0-11.3.0, FirePass 6.0.0-6.1.0 и 7.0.0 и других продуктах "when APM is provisioned" позволяет удаленным злоумышленникам загружать и выполнять произвольные файлы через .. (две точки) в параметре filename.
CVE-2020-5887В версиях 15.1.0-15.1.0.1, 15.0.0-15.0.1.2 и 14.1.0-14.1.2.3 BIG-IP Virtual Edition (VE) может предоставлять удаленным злоумышленникам механизм для доступа к локальным демонам и обхода настроек блокировки портов.
CVE-2019-6649F5 BIG-IP 15.0.0, 14.1.0-14.1.0.6, 14.0.0-14.0.0.5, 13.0.0-13.1.1.5, 12.1.0-12.1.4.1, 11.6.0-11.6.4 и 11.5.1-11.5.9 и Enterprise Manager 3.1.1 могут раскрывать конфиденциальную информацию и позволять изменять конфигурацию системы при использовании нестандартных настроек ConfigSync.
CVE-2019-6592В BIG-IP 14.1.0-14.1.0.1 TMM может перезапуститься и создать основной файл при проверке SSL-сертификатов в профилях SSL клиента или SSL сервера.
CVE-2019-10744Версии lodash ниже 4.17.12 уязвимы для Prototype Pollution. Функцию defaultsDeep можно обманом заставить добавлять или изменять свойства Object.prototype с помощью полезной нагрузки конструктора.
CVE-2011-3188Реализации (1) IPv4 и (2) IPv6 в ядре Linux до версии 3.1 используют модифицированный алгоритм MD4 для генерации порядковых номеров и значений идентификации фрагментов, что облегчает удаленным злоумышленникам вызывать отказ в обслуживании (нарушение работы сети) или перехватывать сетевые сеансы, прогнозируя эти значения и отправляя специально созданные пакеты.
CVE-2015-7394Модуль ядра datastor в F5 BIG-IP Analytics, APM, ASM, Link Controller и LTM 11.1.0 до 12.0.0, BIG-IP AAM 11.4.0 до 12.0.0, BIG-IP AFM, PEM 11.3.0 до 12.0.0, BIG-IP Edge Gateway, WebAccelerator и WOM 11.1.0 до 11.3.0, BIG-IP GTM 11.1.0 до 11.6.0, BIG-IP PSM 11.1.0 до 11.4.1, BIG-IQ Cloud и Security 4.0.0 до 4.5.0, BIG-IQ Device 4.2.0 до 4.5.0, BIG-IQ ADC 4.5.0 и Enterprise Manager 3.0.0 до 3.1.1 позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании или получать привилегии, используя разрешение на загрузку и выполнение кода.
CVE-2015-3628iControl API в F5 BIG-IP LTM, AFM, Analytics, APM, ASM, Link Controller и PEM 11.3.0 до 11.5.3 HF2 и 11.6.0 до 11.6.0 HF6, BIG-IP AAM 11.4.0 до 11.5.3 HF2 и 11.6.0 до 11.6.0 HF6, BIG-IP Edge Gateway, WebAccelerator и WOM 11.3.0, BIG-IP GTM 11.3.0 до 11.6.0 HF6, BIG-IP PSM 11.3.0 до 11.4.1, Enterprise Manager 3.1.0 до 3.1.1, BIG-IQ Cloud и Security 4.0.0 до 4.5.0, BIG-IQ Device 4.2.0 до 4.5.0 и BIG-IQ ADC 4.5.0 позволяет удаленным аутентифицированным пользователям с ролью "Resource Administrator" получать привилегии через iCall (1) script или (2) handler в SOAP-запросе к iControl/iControlPortal.cgi.
CVE-2025-21087Когда на виртуальном сервере настроены SSL-профили клиента или сервера или используются операции подписи DNSSEC, нераскрытый трафик может привести к увеличению использования памяти и ресурсов ЦП.
Примечание: Версии программного обеспечения, достигшие окончания технической поддержки (EoTS), не оцениваются.
CVE-2025-20058Когда профиль маршрутизации сообщений BIG-IP настроен на виртуальном сервере, нераскрытый трафик может вызвать увеличение использования ресурсов памяти. Примечание: программные версии, для которых истек срок технической поддержки (EoTS), не подлежат оценке.
CVE-2023-46748Уязвимость SQL-инъекции с аутентификацией существует в утилите конфигурации BIG-IP, что
может позволить аутентифицированному злоумышленнику с сетевым доступом к утилите конфигурации через управляющий порт BIG-IP и/или IP-адреса самообслуживания выполнять произвольные системные команды.
Примечание: программные версии, которые достигли конца технической поддержки (EoTS), не оцениваются.
CVE-2019-6646В BIG-IP 11.5.2-11.6.4 и Enterprise Manager 3.1.1 пользователи REST с гостевыми привилегиями могут повысить свои привилегии и запускать команды с привилегиями администратора.
CVE-2019-6642В BIG-IP 15.0.0, 14.0.0-14.1.0.5, 13.0.0-13.1.1.5, 12.1.0-12.1.4.2 и 11.5.2-11.6.4, BIG-IQ 6.0.0-6.1.0 и 5.1.0-5.4.0, iWorkflow 2.3.0 и Enterprise Manager 3.1.1 аутентифицированные пользователи с возможностью загружать файлы (например, через scp) могут повысить свои привилегии, чтобы разрешить доступ к оболочке root из интерфейса TMOS Shell (tmsh). Интерфейс tmsh позволяет пользователям выполнять вторичную программу с помощью таких инструментов, как sftp или scp.
CVE-2016-5020F5 BIG-IP до версии 12.0.0 HF3 позволяет удаленным аутентифицированным пользователям изменять конфигурацию учетной записи пользователей с ролью Resource Administration и получать привилегии через специально созданный внешний скрипт Extended Application Verification (EAV) monitor.
CVE-2025-61990При использовании многолопастной платформы с более чем одним лезвием нераскрытый трафик может привести к прекращению микроядер управления трафиком (TMM). Примечание: версии программного обеспечения, которые достигли конца технической поддержки (EoTS), не оцениваются.
CVE-2025-61951Нераскрытый трафик может привести к прекращению микроядер управления трафиком (TMM). Эта проблема может возникнуть, когда виртуальный сервер Datagram Transport Layer Security (DTLS) 1.2 включен с профилем Server SSL, который настроен с сертификатом, ключом и набором SSL Sign Hash к ANY, а сервер бэкэнда включен с DTLS 1.2 и аутентификацией клиента. Примечание: Программные версии, которые достигли конца технической поддержки (E).