PT-2022-3552 · F5 · Big-Ip Advanced Waf/Asm
Publicado
2022-01-25
·
Atualizado
2022-02-01
·
CVE-2022-23026
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
BIG-IP ASM e Advanced WAF, versões 12.1.x a 16.1.x anteriores à 16.1.2
BIG-IP ASM e Advanced WAF, versões 13.1.x
BIG-IP ASM e Advanced WAF, versões 14.1.x anteriores à 14.1.4.5
Versões 15.1.x do BIG-IP ASM e Advanced WAF anteriores à 15.1.4.1
Descrição
O problema está relacionado ao fato de um usuário autenticado com privilégios limitados poder fazer upload de dados usando um endpoint REST não divulgado, causando um aumento na utilização dos recursos do disco. Isso poderia permitir que um invasor remoto executasse código arbitrário.
Recomendações
Para as versões 12.1.x do BIG-IP ASM e Advanced WAF, atualize para uma versão posterior à 12.1.x ou aplique uma alteração de configuração para restringir o acesso ao endpoint REST não divulgado.
Para as versões 13.1.x do BIG-IP ASM e Advanced WAF, atualize para uma versão posterior à 13.1.x ou aplique uma alteração de configuração para restringir o acesso ao endpoint REST não divulgado.
Para as versões 14.1.x do BIG-IP ASM e Advanced WAF anteriores à 14.1.4.5, atualize para a versão 14.1.4.5 ou posterior.
Para as versões 15.1.x do BIG-IP ASM e Advanced WAF anteriores à 15.1.4.1, atualize para a versão 15.1.4.1 ou posterior.
Para as versões 16.1.x do BIG-IP ASM e Advanced WAF anteriores à 16.1.2, atualize para a versão 16.1.2 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao endpoint REST não divulgado até que um patch esteja disponível.
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Big-Ip Advanced Waf/Asm