F5 BIG-IP 漏洞列表

F5 BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1, the Traffic Management User Interface (TMUI), also referred to as the Configuration utility, has a Remote Code Execution (RCE) vulnerability in undisclosed pages. server=="BigIP"

This vulnerability may allow an unauthenticated attacker with network access to the BIG-IP system through the management port and/or self IP addresses to execute arbitrary system commands, create or delete files, or disable services. There is no data plane exposure; this is a control plane issue only.

F5 BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1, the Traffic Management User Interface (TMUI), also referred to as the Configuration utility, has a Remote Code Execution (RCE) vulnerability in undisclosed pages.

F5 BIG-IP 16.1.x versions prior to 16.1.2.2, 15.1.x versions prior to 15.1.5.1, 14.1.x versions prior to 14.1.4.6, 13.1.x versions prior to 13.1.5, and all 12.1.x and 11.6.x versions, may allow undisclosed requests to bypass iControl REST authentication.

When running in Appliance mode, an authenticated user assigned the Administrator role may bypass Appliance mode restrictions, utilizing an undisclosed iControl REST endpoint.

CVE-2023-46747 is a critical severity authentication bypass vulnerability in F5 BIG-IP that could allow an unauthenticated attacker to achieve remote code execution (RCE). The vulnerability impacts the BIG-IP Configuration utility, also known as the TMUI, wherein arbitrary requests can bypass authentication. The vulnerability received a CVSSv3 score of 9.8.

F5 BIG-IP 权限管理不当漏洞 可致权限提升

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。该产品中存在odata注入漏洞(OData 注入是一种攻击手段，通过向 OData 查询中注入恶意代码，来改变原始查询的意图)。该漏洞是由于应用对用户请求的username参数的值验证不当造成的。

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。该产品中存在sql注入漏洞，此漏洞是由于login接口对用户的请求验证不当导致的。

弱口令漏洞指的是系统中使用了简单、容易猜测或常见的密码，导致攻击者可以通过猜测或暴力破解的方式轻易获取账户权限，进而访问或控制受影响的系统资源。这种漏洞通常由于缺乏有效的密码策略或用户对安全意识的忽视造成。

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。 F5 BIG-IP Next Central Manager API 存在 SQL 注入漏洞，可利用该漏洞获取数据库中的敏感信息等。

F5 BIG-IP Next Central Manager 可用于全面管理、自动化和监控部署在任何地方的众多 BIG-IP Next 实例。2024年5月8日，官方披露其存在CVE-2024-26026 F5 BIG-IP Next Central Manager SQL注入漏洞，攻击者可在无需登陆的情况下利用注入获取数据库中的敏感信息。

F5 BIG-IP 中存在SQL注入漏洞. 该漏洞是由于未正确验证Configuration Utility组件中的用户输入导致的。

F5 BIG-IP 和 BIG-IQ 存在跨站请求伪造漏洞，此漏洞是由于终端iControlPortal.cgi未受到CSRF保护，不要求请求包含正确的Content-Type，或者其他类型的传统SOAP API保护方式所导致的。

F5 BIG-IP存在目录遍历漏洞，此漏洞是对用户输入facade.jsp的数据缺乏校验导致的。

F5 BIG-IP 存在认证绕过漏洞。

F5 BIG-IP iControl存在远程代码执行漏洞。该漏洞是由于缺乏验证导致的。

F5 BIG-IP 是一种高性能的应用交付控制器（ADC），用于提供负载均衡、应用安全、应用加速和应用智能等功能。F5 BIG-IP 通过 Apache httpd 转发 AJP 协议时存在一定问题，导致可以请求走私，绕过权限验证。攻击者可通过利用该漏洞配合后台注入，执行任意代码，获取服务器权限。

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。BIG-IP iControlREST存在身份验证绕过漏洞。该漏洞正在被积极利用。

2021年3月10日，长亭应急响应中心监测到F5官方发布安全通告，修复了包括 CVE-2021-22986 BIG-IP iControl REST 未授权远程代码执行漏洞在内的多个严重高危漏洞。

F5 BIG-IP 是美国 F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。该漏洞允许未经身份验证的攻击者通过BIG-IP管理界面和自身IP地址对iControlREST接口进行网络访问，以执行任意系统命令，创建或删除文件以及禁用服务。

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5BIG-IP中存在安全漏洞。攻击者可利用该漏洞执行任意的系统命令、创建或删除文件，关闭服务/执行任意的Java代码，可能完全入侵系统。以下产品及版本受到影响：F5BIG-IP15.1.0版本，15.0.0版本，14.1.0版本至14.1.2版本，13.1.0版本至13.1.3版本，12.1.0版本至12.1.5版本，11.6.1版本至11.6.5版本。

在BIG-IP版本15.0.0-15.1.0.3、14.1.0-14.1.2.5、13.1.0-13.1.3.3、12.1.0-12.1.5.1和11.6.1-11.6.5.1中，流量管理用户接口（TMUI），也称为配置实用程序，在未公开的页面中具有远程执行代码（RCE）漏洞。

F5 BIG-IP LTM等都是美国F5公司的产品。LTM是一款本地流量管理器；APM是一套提供安全统一访问关键业务应用和网络的解决方案。 多款F5 BIG-IP产品的Configuration功能中存在不完整黑名单漏洞。远程攻击者可借助uploadImage.php文件利用该漏洞向Web服务器上传任意文件。以下产品及版本受到影响：F5 BIG-IP LTM、Analytics、APM、ASM、GTM、Link Controller、PSM 11.4.1版本至11.4.1 HF5版本，11.3.0版本至11.4.0 HF7版本，11.0.0版本至11.2.1 HF10版本，BIG-IP AAM 11.4.1版本至11.4.1 HF5版本，11.4.0版本至11.4.0 HF7版本，BIG-IP AFM、PEM 11.4.1版本至11.4.1 HF5版本，11.3.0版本至11.4.0 HF7版本，BIG-IP Edge Gateway、WebAccelerator、WOM 11.3.0版本，11.0.0版本至11.2.1 HF10版本。