漏洞背景
近日,嘉诚安全监测到F5 Networks发布安全公告,修复了BIG-IP Next Central Manager中的多个注入漏洞,攻击者可利用这些漏洞获取敏感信息并控制设备,目前PoC已公开。
BIG-IP Next Central Manager是BIG-IP Next的原生默认用户界面,它可跨平台管理BIG-IP Next实例。BIG-IP Next是F5 Networks公司推出的一款下一代BIG-IP软件,提供了多云应用安全和应用交付服务。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
1.CVE-2024-21793
BIG-IP Next Central Manager OData注入漏洞,经研判,该漏洞为高危漏洞,存在于Central Manager处理OData查询的方式中,可能导致未经身份验证的攻击者注入OData查询过滤器参数,从而获取敏感信息,如管理员密码哈希等。
2.CVE-2024-26026
BIG-IP Next Central Manager SQL注入漏洞,经研判,该漏洞为高危漏洞。未经身份验证的攻击者可将恶意SQL查询注入数据库查询的输入字段或参数中,从而可能导致未授权访问、数据泄露和系统接管等。
危害影响
影响版本
BIG-IP Next Central Manager 20.x :20.0.1 - 20.1.0
修复建议
目前这些漏洞已经修复,受影响用户可更新到BIG-IP Next Central Manager 20.2.0。
下载链接:
https://my.f5.com/manage/s/
参考链接:
https://my.f5.com/manage/s/article/K000138733
https://my.f5.com/manage/s/article/K000138732
https://eclypsium.com/blog/big-vulnerabilities-in-next-gen-big-ip/
原文始发于微信公众号(嘉诚安全):【漏洞通告】BIG-IP Next Central Manager多个注入漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论