F5 BIG-IP távoli kódfuttatásos sérülékenység

F5 BIG-IP távoli kódfuttatásos sérülékenység
Angol cím: F5 BIG-IP RCE vulnerability

CH azonosító: CH-14933
Publikálás dátuma: 2020.07.07.
Utolsó módosítás dátuma: 2020.07.07.

Leírás

A CVE-2020-5902 számon az F5 Networks BIG-IP szolgáltatásait érintő – kritikus kockázati besorolású – sérülékenység vált ismertté, amelyet kihasználva a távoli, jogosultsággal nem rendelkező támadó tetszőleges kódfuttatási jogosultságot szerezhet, leállíthat egyes szolgáltatásokat, törölhet, illetve létrehozhat fájlokat.

Leírás forrása: Gyártói referencia: support.f5.com Leírás utolsó módosítása: 2020.07.07.

Elemzés leírás

Az F5 Networks BIG-IP termékcsalád szoftveres és hardveres  biztonsági megoldásokat és hozzáférés vezérlést kínál nagy felhasználók számára. A most ismertetett sérülékenység hozzáférést biztosít a konfigurációs segédprogramhoz, így a távoli, jogosultsággal nem rendelkező támadó tetszőleges kódfuttatási jogosultságot szerezhet, leállíthat egyes szolgáltatásokat, törölhet, illetve létrehozhat fájlokat.

Érintett szoftverek:

  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 15.0.0 és 15.1.0
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 14.1.0 és 14.1.2 közötti verziók
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 13.1.0 és 13.1.3 közötti verziók
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 12.1.0 és 12.1.5 közötti verziók
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 11.6.1 és 11.6.5 közötti verziók

A gyártó honlapján közzétette a hiba javítást tartalmazó frissítéseket.

Elemzés leírás forrása: Gyártói referencia: support.f5.com Elemzés leírás utolsó módosítása: 2020.07.07.

Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma:
Kihasználhatóság pontszáma:

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C):
Sértetlenség Hatása (I):
Rendelkezésre állás Hatása (A):

Hivatkozások

Gyártói referencia: support.f5.com
Egyéb referencia: www.helpnetsecurity.com
Egyéb referencia: www.tenable.com
Egyéb referencia: badpackets.net
Egyéb referencia: www.jpcert.or.jp
CVE-2020-5902 - NVD CVE-2020-5902

Legfrissebb sérülékenységek
CVE-2023-1289 – ImageMagick sérülékenysége
CVE-2023-1050 – Koc Energy Web Report System sérülékenysége
CVE-2022-22512 – VARTA Storage Web-UI sérülékenysége
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
CVE-2023-26426 – Adobe Illustrator sérülékenysége
CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége
CVE-2022-45124 – wellintech / kinghistorian sérülékenysége
Tovább a sérülékenységekhez »