Vulnérabilités dans F5 BIG-IP et F5 BIG-IQ
Date de publication :
CVE-2021-23028 [Score CVSS v3 : 7.5]
Dans le cas où des profils de contenu JSON sont configurés pour des URL dans le cadre d'une politique de sécurité F5 Advanced Web Application Firewall (WAF)/BIG-IP ASM et appliqués à un serveur virtuel, les requêtes non divulguées peuvent entraîner l'arrêt du processus BIG-IP ASM bd.
CVE-2021-23026 [Score CVSS v3 : 8.8]
BIG-IP et BIG-IQ sont vulnérables à certaines attaques de type CSRF (cross-site request forgery) via le panneau de contrôle de iControl SOAP.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Déni de service
Contournement d’authentification
Atteinte à l’intégrité des données
Atteinte à la confidentialité des données
Criticité
-
Score CVSS v3 : 8.8 max
Existence d’un code d’exploitation
-
Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
-
F5 BIG-IP versions 16.0.0 jusqu’à 16.0.1
F5 BIG-IP versions 15.1.0 jusqu’à 15.1.2
F5 BIG-IP versions 14.1.0 jusqu’à 14.1.4
F5 BIG-IP versions 13.1.0 jusqu’à 13.1.4
F5 BIG-IP versions 12.1.0 jusqu’à 12.1.6
F5 BIG-IP versions 11.6.1 jusqu’à 11.6.5
F5 BIG-IQ versions 8.0.0 jusqu’à 8.1.0
F5 BIG-IQ versions 7.0.0 jusqu’à 7.1.0
F5 BIG-IQ versions 6.0.0 jusqu’à 6.1.0
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les logiciels impactés conformément aux instructions de l’éditeur F5.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.