PT-2020-18846 · F5 · F5 Big-Ip
Publicado
2020-12-11
·
Atualizado
2021-03-31
·
CVE-2020-5948
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
F5 BIG-IP versões 11.6.1 a 11.6.5.2
F5 BIG-IP versões 12.1.0 a 12.1.5.2
F5 BIG-IP versões 13.1.0 a 13.1.3.4
Versões do F5 BIG-IP 14.1.0 a 14.1.2.7
Versões do F5 BIG-IP 15.1.0 a 15.1.0.5
Versões do F5 BIG-IP 16.0.0 a 16.0.0.1
Descrição
A vulnerabilidade diz respeito a endpoints não divulgados no iControl REST, que permitem um ataque XSS refletido. Isso pode levar ao comprometimento total do sistema BIG-IP se o usuário vítima tiver a função de administrador.
Recomendações
Para as versões do F5 BIG-IP 11.6.1 a 11.6.5.2, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 12.1.0 a 12.1.5.2 do F5 BIG-IP, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 13.1.0 a 13.1.3.4 do F5 BIG-IP, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do F5 BIG-IP de 14.1.0 a 14.1.2.7, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do F5 BIG-IP de 15.1.0 a 15.1.0.5, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 16.0.0 a 16.0.0.1 do F5 BIG-IP, atualize para uma versão fora desse intervalo para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso aos endpoints não divulgados no iControl REST para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
F5 Big-Ip