F5 ha publicado 3 nuevos avisos de seguridad que contemplan 3 vulnerabilidades, de las cuales 2 son de severidad Alta y 1 de severidad Media. Estas fallas afectan a los siguientes productos en diversas versiones:
CVE-2023-36858 [CVSSv3: 7.4]
Vulnerabilidad de BIG-IP Edge Client para Windows y MacOS
Existe una verificación insuficiente de la vulnerabilidad de los datos en BIG-IP Edge Client para Windows y macOS que puede permitir que un atacante modifique su lista de servidores configurados. Un atacante autenticado con acceso local a BIG-IP Edge Client en un sistema Windows o macOS puede modificar la lista de servidores de BIG-IP Edge Client y dirigir el tráfico a un sistema malicioso.
CVE-2023-38418 [CVSSv3: 7.8]
Vulnerabilidad de BIG-IP Edge Client para MacOS
El instalador de cliente BIG-IP Edge en macOS no sigue las mejores prácticas para elevar los privilegios durante el proceso de instalación, por lo cual un atacante con la capacidad de ejecutar código arbitrario sin privilegios en el cliente MacOS de destino puede abusar de una instalación de Edge Client en curso para obtener una escalada de privilegios local en el sistema macOS del cliente.
CVE-2023-38419 [CVSSv3: 4.3]
Vulnerabilidad SOAP de BIG-IP y BIG-IQ iControl
Un atacante autenticado con privilegios de invitado o superior puede hacer que el proceso SOAP de iControl finalice enviando solicitudes no reveladas.
El daemon iControl SOAP deja de responder permitiendo que un atacante autenticado con al menos privilegios de rol de invitado envíe solicitudes no reveladas y provoque una denegación de servicio (DoS) del servicio iControl SOAP. No hay exposición del plano de datos; este es un problema del plano de control solamente.
Solución alternativa:
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Producto | Versión |
---|---|
BIG-IP APM |
17.x de 17.0.0 a 17.1.0 16.x de 16.1.0 a 16.1.3 15.x de 15.1.0 a 15.1.9 14.x de 14.1.0 a 14.1.5 13.x de 13.1.0 a 13.1.5 |
APM Clients |
7.x de 7.2.3 a 7.2.4 |
BIG-IQ Centralized Management |
8.x de 8.2.0 a 8.3.0 |