Vulnérabilités dans plusieurs produits F5
Date de publication :
CVE-2021-23022 [Score CVSS v3 : 7.8]
Les autorisations de fichiers et de dossiers du dossier temporaire du service d'installation Windows du client BIG-IP Edge sont faibles. Cette vulnérabilité peut être exploitée pour permettre à un attaquant local et authentifié d'exécuter une application spécialement conçue pour obtenir une élévation de privilèges sur le système Windows du client.
CVE-2021-23023[Score CVSS v3 : 7.8]
Un problème de détournement de DLL au sein du fichier cachecleaner.dll inclus dans le programme d'installation Windows du client BIG-IP Edge a été corrigé. L’exploitation de cette vulnérabilité peut permettre à un attaquant local et non authentifié d'utiliser une DLL malveillante afin d'élever ses privilèges sur le système Windows du client.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Elévation de privilèges
Criticité
Scores CVSS v3 : 7.8 max
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
Les versions suivantes du logiciel F5 Big-IP APM sont impactées par ces vulnérabilités :
De 16.0.0 à 16.0.1
De 15.1.0 à 15.1.3
De 14.1.0 à 14.1.4
De 13.1.0 à 13.1.4
De 12.1.0 à 12.1.6
De 11.6.1 à 11.6.5
Les versions suivantes du logiciel F5 BIG-IP APM Client sont impactées par ces vulnérabilités :
7.2.1
De 7.1.6 à 7.1.9
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour F5 Big-IP APM Client vers une des versions suivantes :
7.2.1
7.1.9.9 Update 1
Solution de contournement
Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.