点击上方蓝字关注我们!
漏洞背景
近日,嘉诚安全监测到F5官方发布安全版本,修复了F5 BIG-IP Configuration utility 跨站脚本漏洞、F5 BIG-IP Edge Client Installer 数据伪造问题漏洞、F5 BIG-IP Edge Client 数据伪造问题漏洞,漏洞编号分别为:CNNVD-202308-067(CVE-2023-38138)、CNNVD-202308-069(CVE-2023-38418)、CNNVD-202308-073(CVE-2023-36858)。
F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
1.CNNVD-202308-067(CVE-2023-38138)
F5 BIG-IP Configuration utility 跨站脚本漏洞,经研判,该漏洞为高危漏洞。攻击者利用该漏洞在当前登录用户中运行JavaScript。
2.CNNVD-202308-069(CVE-2023-38418)
F5 BIG-IP Edge Client Installer 数据伪造问题漏洞,经研判,该漏洞为高危漏洞。攻击者利用该漏洞可以提升权限。
3.CNNVD-202308-073(CVE-2023-36858)
F5 BIG-IP Edge Client 数据伪造问题漏洞,经研判,该漏洞为高危漏洞。漏洞源于存在不足的数据验证漏洞,可能允许攻击者修改其配置的服务器列表。
危害影响
影响范围:
17.0.0 < BIG-IP (all modules) < 17.1.0
16.1.0 < BIG-IP (all modules) < 16.1.3
15.1.0 < BIG-IP (all modules) < 15.1.9
14.1.0 < BIG-IP (all modules) < 14.1.5
13.1.0 < BIG-IP (all modules) < 13.1.5
7.2.3 < BIG-IP (all modules) < 7.2.4
修复建议
根据影响版本中的信息,建议相关用户尽快更新至安全版本,下载链接请参考:
https://my.f5.com/manage/s/article/K000133474
https://my.f5.com/manage/s/article/K000134746
https://my.f5.com/manage/s/article/K000132563
原文始发于微信公众号(嘉诚安全):【漏洞通告】F5 BIG-IP多个安全漏洞风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论