F5 - CVE-2026-59762

Date de publication :

Il s'agit d'une vulnérabilité liée à l'absence de limitation de l'allocation des ressources au sein du processus TMM (Traffic Management Microkernel) de BIG-IP.

BIG-IP est une gamme d'appliances de distribution de charge applicative (ADC) éditée par F5, utilisée pour le équilibrage de charge, la terminaison SSL/TLS et la gestion du trafic applicatif dans les datacenters d'entreprise.

Lorsqu'un profil HTTP/2 est configuré sur un serveur virtuel, certaines requêtes non divulguées par l'éditeur provoquent une augmentation de la consommation de mémoire du processus TMM. Un attaquant distant et non authentifié peut envoyer ces requêtes sans condition d'accès particulière, entraînant une dégradation progressive des performances du système jusqu'à nécessiter un redémarrage forcé ou manuel du processus TMM.

Elle permet une dégradation de service pouvant mener à un déni de service complet du système BIG-IP concerné.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Déni de service (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-770 : Allocation of Resources Without Limits or Throttling

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   BIG-IP Next SPK versions 2.0.0 jusqu'à 2.0.3 (branche 2.x)
•   BIG-IP Next SPK versions 1.7.0 jusqu'à 1.9.2 (branche 1.x)
•   BIG-IP Next CNF versions 2.0.0 jusqu'à 2.3.1 (branche 2.x)
•   BIG-IP Next CNF versions 1.1.0 jusqu'à 1.4.2 (branche 1.x)
•   BIG-IP Next for Kubernetes versions 2.0.0 jusqu'à 2.3.1
•   BIG-IP (tous modules) versions 21.0.0 jusqu'à 21.1.0 (branche 21.x)
•   BIG-IP (tous modules) versions 17.5.0 jusqu'à 17.5.1 (branche 17.5.x)
•   BIG-IP (tous modules) versions 17.1.0 jusqu'à 17.1.3 (branche 17.1.x)

Contournement provisoire

Pour BIG-IP : créer une politique d'éviction personnalisée avec le Slow Flow Monitoring activé, puis l'associer au serveur virtuel concerné

Solutions ou recommandations

•   Aucun correctif disponible à ce jour pour BIG-IP Next SPK branche 2.x
•   BIG-IP Next SPK version 1.7.18 et supérieures (branche 1.x)
•   BIG-IP Next CNF version 2.3.2 et supérieures (branche 2.x)
•   BIG-IP Next CNF version 2.2.3 et supérieures (branche 2.2.x)
•   BIG-IP Next CNF version 1.4.3 et supérieures (branche 1.x)
•   BIG-IP Next for Kubernetes version 2.3.2 et supérieures (branche 2.x)
•   BIG-IP Next for Kubernetes version 2.2.3 et supérieures (branche 2.2.x)
•   BIG-IP (tous modules) version 21.1.0.1 et supérieures (branche 21.x)
•   BIG-IP (tous modules) version 21.0.0.3 et supérieures (branche 21.0.x)
•   BIG-IP (tous modules) version 17.5.1.8 et supérieures (branche 17.5.x)
•   BIG-IP (tous modules) version 17.1.3.4 et supérieures (branche 17.1.x)