F5 多款产品中存在多个RCE漏洞

admin 2022年11月18日12:24:03安全漏洞评论31 views960字阅读3分12秒阅读模式

F5 多款产品中存在多个RCE漏洞 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


安全公司Rapid7表示,F5产品受多个漏洞和其它安全问题影响。

Rapid7公司在8月中旬将研究成果告知F5,并在F5发布安全公告通知用户并推出工程热补丁之时,发布了相关漏洞详情。

研究人员指出,其中两个漏洞是高危漏洞并已获得CVE编号(CVE-2022-41622和CVE-2022-41800),而F5认为其余的安全绕过方法并非漏洞。

最严重的漏洞是CVE-2022-41622,它是影响 BIG-IP和BIG-IQ产品的一个跨站点请求伪造 (CSRF)漏洞,可导致远程未认证攻击者获得对设备管理接口的根访问权限,即使该接口并未暴露给互联网也不例外。

然而,漏洞利用要求攻击者具备一些目标网络知识,并需要说服已登录管理员访问专用于利用该漏洞的恶意网站。F5指出,“如遭利用,该漏洞可攻陷整个系统。”

第二个漏洞CVE-2022-41800,可导致具有管理员权限的攻击者通过RPM 标准文件执行任意shell命令。

另外,Rapid7 还发现多个安全问题,包括通过恶意Unix套接字权限提升本地权限以及两个SELinux 绕过方法等。该公司认为这些漏洞的利用遭广泛传播的可能性很低。然而,鉴于BIG-IP设备一直都是遭攻击的对象,因此F5客户不应忽视这些漏洞。


代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

F5 BIG-IP 中存在严重的RCE漏洞
F5紧急修复严重的 BIG-IP 预认证 RCE 漏洞
速修复!严重的F5 BIG-IP 漏洞 PoC 已发布
F5 以6.7亿美金收购 NGINX



原文链接

https://www.securityweek.com/remote-code-execution-vulnerabilities-found-f5-products


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




F5 多款产品中存在多个RCE漏洞
F5 多款产品中存在多个RCE漏洞

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   F5 多款产品中存在多个RCE漏洞 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):F5 多款产品中存在多个RCE漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月18日12:24:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  F5 多款产品中存在多个RCE漏洞 http://cn-sec.com/archives/1416458.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: