【漏洞通告】F5 BIG-IP 格式化字符串错误漏洞

0x01 漏洞信息

漏洞名称：F5 BIG-IP 格式化字符串错误漏洞

漏洞编号：CVE-2023-22374

漏洞等级：高

披漏时间：2023年2月3日

0x02 漏洞描述

F5 BIG-IP iControl SOAP中存在格式化字符串漏洞，经过身份验证的用户可以通过 BIG-IP 管理端口或自身 IP 地址对 iControl SOAP 进行网络访问，从而在 iControl SOAP CGI 进程上造成拒绝服务 (DoS) 或执行任意代码。

0x03 漏洞状态

脆弱组件覆盖面	利用门槛	POC工具	EXP工具
广	高	未公开	未公开

0x04 影响版本

F5 BIG-IP 17.0.0;16.1.2.2 ≤ F5 BIG-IP 16.x ≤ 16.1.3;15.1.5.1 ≤ F5 BIG-IP 15.x ≤ 15.1.8;14.1.4.6 ≤ F5 BIG-IP 14.x ≤ 14.1.5;F5 BIG-IP 13.1.5

0x05 漏洞排查

用户尽快排查所有应用系统F5 BIG-IP应用版本是否在F5 BIG-IP 17.0.0;16.1.2.2 ≤ F5 BIG-IP 16.x ≤ 16.1.3;15.1.5.1 ≤ F5 BIG-IP 15.x ≤ 15.1.8;14.1.4.6 ≤ F5 BIG-IP 14.x ≤ 14.1.5;F5 BIG-IP 13.1.5之间。若存在应用使用，极大可能会受到影响。

0x06 漏洞加固

此漏洞暂无官方解决方案，请关注官方的版本更新。链接如下：https://my.f5.com/manage/s/downloads

原文始发于微信公众号（安迈信科应急响应中心）：【漏洞通告】F5 BIG-IP 格式化字符串错误漏洞