PT-2021-15377 · F5 · Big-Ip Apm
Publicado
2021-09-27
·
Atualizado
2021-10-04
·
CVE-2021-23054
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
BIG-IP APM versões 11.6.x
Versões 12.1.x do BIG-IP APM
Versões 13.1.x do BIG-IP APM
Versões 14.1.x a 14.1.4.4 do BIG-IP APM
Versões 15.1.x a 15.1.4 do BIG-IP APM
Versões 16.x a 16.1.0 do BIG-IP APM
Descrição
Existe uma vulnerabilidade de cross-site scripting (XSS) refletido na página de informações de recursos para usuários autenticados quando um webtop completo está configurado no sistema BIG-IP APM. Isso ocorre devido à validação insuficiente de entradas, permitindo que um invasor injete scripts maliciosos. A vulnerabilidade pode ser explorada quando um usuário clica em um link especialmente criado.
Recomendações
Para as versões 11.6.x, considere desativar a página de informações de recursos para usuários autenticados até que um patch esteja disponível.
Para as versões 12.1.x, restrinja o acesso à página de informações de recursos para minimizar o risco de exploração.
Para as versões 13.1.x, evite usar a configuração de webtop completo até que o problema seja resolvido.
Para as versões 14.1.x a 14.1.4.4, atualize para a versão 14.1.4.4 ou posterior.
Para as versões 15.1.x a 15.1.4, atualize para a versão 15.1.4 ou posterior.
Para as versões 16.x a 16.1.0, atualize para a versão 16.1.0 ou posterior.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Big-Ip Apm