F5 Networks publikuje podatności dla swoich produktów

cert.pse-online.pl 2 lat temu

Product	BIG-IP – wiele wersji i platform BIG-IQ Centralized Management – versions 7.1.0 and 8.0.0 to 8.2.0
Numer CVE	CVE-2022-41622
Krytyczność	8.8/10
CVSS	AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Opis	BIG-IP i BIG-IQ są podatne na ataki typu cross-site request forgery (CSRF) za pośrednictwem iControl SOAP. Atakujący może nakłonić użytkowników, którzy mają co najmniej uprawnienia administratora zasobów i są uwierzytelniani dzięki podstawowego uwierzytelniania w iControl SOAP, do wykonywania krytycznych działań. Osoba atakująca może wykorzystać tę lukę tylko za pośrednictwem płaszczyzny kontroli, a nie płaszczyzny danych. W przypadku wykorzystania luka może zagrozić całemu systemowi.

Aktualizacja	NIE
Link	https://support.f5.com/csp/article/K94221585

Product	BIG-IP – wszystkie moduły
Numer CVE	CVE-2022-41800
Krytyczność	8.7/10
CVSS	AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N
Opis	W trybie urządzenia uwierzytelniony użytkownik z ważnymi poświadczeniami użytkownika, którym przypisano rolę administratora, może ominąć ograniczenia trybu urządzenia. To jest kwestia samolotu kontrolnego; nie ma ekspozycji płaszczyzny danych. Tryb urządzenia jest wymuszany przez konkretną licencję lub może być włączony lub wyłączony dla poszczególnych wystąpień gościa Virtual Clustered Multiprocessing (vCMP).

Aktualizacja	NIE
Link	https://support.f5.com/csp/article/K13325942