F5 - CVE-2026-59762
Date de publication :
Il s'agit d'une vulnérabilité liée à l'absence de limitation de l'allocation des ressources au sein du processus TMM (Traffic Management Microkernel) de BIG-IP.
BIG-IP est une gamme d'appliances de distribution de charge applicative (ADC) éditée par F5, utilisée pour le équilibrage de charge, la terminaison SSL/TLS et la gestion du trafic applicatif dans les datacenters d'entreprise.
Lorsqu'un profil HTTP/2 est configuré sur un serveur virtuel, certaines requêtes non divulguées par l'éditeur provoquent une augmentation de la consommation de mémoire du processus TMM. Un attaquant distant et non authentifié peut envoyer ces requêtes sans condition d'accès particulière, entraînant une dégradation progressive des performances du système jusqu'à nécessiter un redémarrage forcé ou manuel du processus TMM.
Elle permet une dégradation de service pouvant mener à un déni de service complet du système BIG-IP concerné.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Déni de service (à distance)
Exploitation
CWE-770 : Allocation of Resources Without Limits or Throttling
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• BIG-IP Next SPK versions 2.0.0 jusqu'à 2.0.3 (branche 2.x)
• BIG-IP Next SPK versions 1.7.0 jusqu'à 1.9.2 (branche 1.x)
• BIG-IP Next CNF versions 2.0.0 jusqu'à 2.3.1 (branche 2.x)
• BIG-IP Next CNF versions 1.1.0 jusqu'à 1.4.2 (branche 1.x)
• BIG-IP Next for Kubernetes versions 2.0.0 jusqu'à 2.3.1
• BIG-IP (tous modules) versions 21.0.0 jusqu'à 21.1.0 (branche 21.x)
• BIG-IP (tous modules) versions 17.5.0 jusqu'à 17.5.1 (branche 17.5.x)
• BIG-IP (tous modules) versions 17.1.0 jusqu'à 17.1.3 (branche 17.1.x)
Contournement provisoire
Solutions ou recommandations
• BIG-IP Next SPK version 1.7.18 et supérieures (branche 1.x)
• BIG-IP Next CNF version 2.3.2 et supérieures (branche 2.x)
• BIG-IP Next CNF version 2.2.3 et supérieures (branche 2.2.x)
• BIG-IP Next CNF version 1.4.3 et supérieures (branche 1.x)
• BIG-IP Next for Kubernetes version 2.3.2 et supérieures (branche 2.x)
• BIG-IP Next for Kubernetes version 2.2.3 et supérieures (branche 2.2.x)
• BIG-IP (tous modules) version 21.1.0.1 et supérieures (branche 21.x)
• BIG-IP (tous modules) version 21.0.0.3 et supérieures (branche 21.0.x)
• BIG-IP (tous modules) version 17.5.1.8 et supérieures (branche 17.5.x)
• BIG-IP (tous modules) version 17.1.3.4 et supérieures (branche 17.1.x)