F5 ha publicado 1 aviso de seguridad que contempla 13 vulnerabilidades. De estas, 7 son clasificadas como severidad Alta y 6 de severidad Media. Dichas vulnerabilidades afectan a los siguientes productos de F5:
CVE-2024-31156 [CVSSv3: 8.0]
Vulnerabilidad XSS de la utilidad de configuración BIG-IP
Existe una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenadas en una página no divulgada de la utilidad de configuración BIG-IP que permite a un atacante ejecutar JavaScript en el contexto del usuario actualmente conectado.
Un atacante autenticado puede aprovechar esta vulnerabilidad almacenando código HTML o JavaScript malicioso en la utilidad de configuración BIG-IP. Si tiene éxito, un atacante puede ejecutar JavaScript en el contexto del usuario que ha iniciado sesión actualmente.
CVE-2024-21793 [CVSSv3: 7.5]
Vulnerabilidad de inyección OData de BIG-IP Next Central Manager
Existe una vulnerabilidad de inyección de OData en la API (URI) del Administrador Central de BIG-IP Next.
Un atacante no autenticado puede aprovechar esta vulnerabilidad para ejecutar declaraciones SQL maliciosas a través de la API (URI) del Administrador Central de BIG-IP NEXT.
CVE-2024-26026 [CVSSv3: 7.5]
Vulnerabilidad de inyección SQL de BIG-IP Next Central Manager
Existe una vulnerabilidad de inyección SQL en la API (URI) de BIG-IP Next Central Manager.
Un atacante no autenticado puede aprovechar esta vulnerabilidad para ejecutar declaraciones SQL maliciosas a través de la API (URI) del Administrador Central de BIG-IP Next.
CVE-2024-33608 [CVSSv3: 7.5]
Vulnerabilidad IPsec BIG-IP
Cuando se configura IPsec en un servidor virtual, el tráfico no divulgado puede provocar la finalización del Microkernel de gestión de tráfico (TMM).
El tráfico se interrumpe mientras se reinicia el proceso TMM. Esta vulnerabilidad permite que un atacante remoto no autenticado provoque una denegación de servicio (DoS) en el sistema BIG-IP. No hay exposición al plano de control, este es un problema únicamente del plano de datos.
CVE-2024-25560 [CVSSv3: 7.5]
Vulnerabilidad TMM
Cuando BIG-IP AFM está licenciado y aprovisionado, el tráfico DNS no revelado puede provocar la terminación del Traffic Management Microkernel (TMM).
El tráfico se interrumpe mientras se reinicia el proceso TMM. Esta vulnerabilidad permite que un atacante remoto no autenticado provoquen una denegación de servicio (DoS) en el sistema BIG-IP o en la instancia BIG-IP Next CNF. No hay exposición al plano de control, este es un problema únicamente del plano de datos.
CVE-2024-32049 [CVSSv3: 7.4]
Vulnerabilidad de BIG-IP Next Central Manager
BIG-IP Next Central Manager puede permitir que un atacante remoto no autenticado obtenga credenciales de instancia de BIG-IP Next LTM/WAF.
Esta vulnerabilidad puede permitir a un atacante no autenticado en una posición man-in-the-middle (MITM) entre una instancia BIG-IP Next LTM/WAF y BIG-IP Next Central Manager descifrar y modificar la comunicación SSL entre BIG-IP Next Central Manager y la instancia BIG-IP Next LTM/WAF.
CVE-2024-28883 [CVSSv3: 7.4]
Vulnerabilidad del cliente VPN de acceso a la red del navegador BIG-IP APM
Existe una vulnerabilidad de validación de origen en el cliente VPN de acceso a la red del navegador BIG-IP APM, que puede permitir a un atacante eludir la inspección del punto final F5.
Un atacante remoto no autenticado con una posición de intermediario (MITM) puede aprovechar esta vulnerabilidad y establecer una conexión de acceso a la red (VPN) con un sistema BIG-IP APM. Esta vulnerabilidad afecta específicamente al cliente VPN de acceso a la red del navegador BIG-IP APM cuando la política de acceso a BIG-IP APM está configurada con un elemento de inspección de punto final en el Editor de políticas visual (VPE), Endpoint Security (cliente o servidor). BIG-IP Edge Client/F5 Access/CLI y otros clientes no se ven afectados.
CVE-2024-33612 [CVSSv3: 6.8]
Vulnerabilidad de BIG-IP Next Central Manager
CVE-2024-32761 [CVSSv3: 6.5]
Tenants de BIG-IP TMM en VELOS y vulnerabilidad rSeries
CVE-2024-33604 [CVSSv3: 6.1]
Vulnerabilidad XSS de la utilidad de configuración BIG-IP
CVE-2024-28889 [CVSSv3: 5.9]
Vulnerabilidad SSL de BIG-IP
CVE-2024-27202 [CVSSv3: 4.7]
Vulnerabilidad de la utilidad de configuración BIG-IP
CVE-2024-28132 [CVSSv3: 4.4]
Vulnerabilidad CNF de BIG-IP Next
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
https://my.f5.com/manage/s/article/K000139404 |
Producto | Versión |
---|---|
BIG-IP |
17.1.0 - 17.1.1 16.1.0 - 16.1.4 15.1.0 - 15.1.10 |
BIG-IP Next Central Manager |
20.0.1 - 20.1.0 20.0.2 |
BIG-IP (AFM) |
17.1.0 16.1.0 - 16.1.3 15.1.10 |
BIG-IP Next CNF |
1.1.0 - 1.1.1 1.2.0 - 1.2.1 |
BIG-IP (APM) |
17.1.0 16.1.0 - 16.1.4 15.1.0 - 15.1.10 |
APM Clients |
7.2.3 - 7.2.4 |