漏洞公告
近日,中国电信SRC监测到F5官方发布安全公告,F5 BIG-IP远程代码执行漏洞(CVE-2023-46747),CVSS_3.1评分:9.8。未经授权的远程攻击者通过管理端口或自身IP地址访问BIG-IP系统,利用此漏洞可能绕过身份认证,导致在暴露流量管理用户界面(TMUI)的 F5 BIG-IP 实例上执行任意代码。当前官方已发布相关补丁,建议用户及时更新对应补丁修复漏洞。
参考链接:
https://my.f5.com/manage/s/article/K000137353
一、影响版本
受影响版本:
BIG-IP 17.x <= 17.1.0
16.1.0 <= BIG-IP <= 16.1.4
15.1.0 <= BIG-IP <= 15.1.10
14.1.0 <= BIG-IP <= 14.1.5
13.1.0 <= BIG-IP <= 13.1.5
二、漏洞描述
F5 BIG-IP远程代码执行风险提示(CVE-2023-46747)(超危):未经授权的远程攻击者通过管理端口或自身IP地址访问BIG-IP系统,利用此漏洞可能绕过身份认证,导致在暴露流量管理用户界面(TMUI)的 F5 BIG-IP 实例上执行任意代码。
| 细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
| 否 |
未公开 |
未公开 |
未公开 |
三、解决方案
官方建议:
目前官方已有可更新版本,建议受影响用户升级至:
BIG-IP 17.x >= 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG3
BIG-IP 16.x >= 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG
BIG-IP 15.x >= 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG
BIG-IP 14.x >= 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG
BIG-IP 13.x >= 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG
原文始发于微信公众号(中国电信SRC):【漏洞预警】F5 BIG-IP存在远程命令执行漏洞预警
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论