PT-2022-18090 · F5 · F5 Big-Ip
Publicado
2022-05-05
·
Atualizado
2022-05-12
·
CVE-2022-26835
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do F5 BIG-IP anteriores à 16.1.2.2
Versões do F5 BIG-IP anteriores à 15.1.5.1
Versões do F5 BIG-IP anteriores à 14.1.4.6
Versões do F5 BIG-IP anteriores à 13.1.5
Versões 12.1.x e 11.6.x do F5 BIG-IP
Descrição
Existem vulnerabilidades de traversal de diretório em endpoints REST do iControl não divulgados e em comandos do TMOS Shell (tmsh) na Configuração Guiada do F5 BIG-IP, o que pode permitir que um invasor autenticado com privilégios de, no mínimo, administrador de recursos leia arquivos arbitrários.
Recomendações
Para versões do F5 BIG-IP anteriores à 16.1.2.2, atualize para a versão 16.1.2.2 ou posterior.
Para versões do F5 BIG-IP anteriores à 15.1.5.1, atualize para a versão 15.1.5.1 ou posterior.
Para versões do F5 BIG-IP anteriores à 14.1.4.6, atualize para a versão 14.1.4.6 ou posterior.
Para versões do F5 BIG-IP anteriores à 13.1.5, atualize para a versão 13.1.5 ou posterior.
Para as versões 12.1.x e 11.6.x do F5 BIG-IP, considere desativar os endpoints REST do iControl e os comandos do TMOS Shell (tmsh) vulneráveis como uma solução alternativa temporária, pois essas versões chegaram ao Fim do Suporte Técnico (EoTS).
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
F5 Big-Ip