F5 BIG-IP уязвимость программное обеспечение
Критическая уязвимость может в определенных условиях привести к полной компрометации системы.
В сетевых устройствах F5 BIG-IP исправлено 13 опасных уязвимостей, одна из которых (CVE-2021-23031) может стать критической в определенных условиях.
Из тринадцати проблем одна становится критической в конфигурации, «предназначенной для удовлетворения потребностей клиентов в особо уязвимых секторах», и может привести к полной компрометации системы. Проблема затрагивает модули BIG-IP Advanced Web Application Firewall (WAF) и Application Security Manager (ASM), в частности Traffic Management User Interface (TMUI).
Уязвимость повышения привилегий, получившая оценку в 8,8 балла по шкале CVSS, может быть использована авторизованным злоумышленником с доступом к утилите конфигурации для выполнения произвольных системных команд, что может привести к полной компрометации системы. Для клиентов, использующих режим устройства, в котором применяются некоторые технические ограничения, та же уязвимость получила оценку в 9,9 балла из максимальных 10 по шкале CVSS.
Уведомление F5 об уязвимости CVE-2021-23031 не содержит подробных сведений о том, почему существует два уровня опасности. По словам экспертов, существует «ограниченное количество клиентов», на которых влияет критический вариант проблемы, если они не обновятся до последней версии или не применять меры по смягчению эксплуатации (ограничить доступ к утилите настройки только полностью доверенным пользователям).
Остальные уязвимости получили оценку от 7,2 до 7,5 балла по шкале CVSS. Проблемы включают уязвимости аутентифицированного удаленного выполнения команд, межсайтового скриптинга (XSS), подделки запросов и DoS.
SECURITYLAB.RU