0x00基本信息
| CVE编号 | CVE-2022-41800 | 信息来源 | 互联网探测 |
| CNVD编号 | 未分配 | CNNVD编号 | CNNVD-202211-2947 |
| 公开日期 | 2022-11-16 | 更新日期 | 2022-11-18 |
| 威胁类型 | 安全特性绕过 | 技术类型 | 命令注入 |
| 公开PoC|EXP | 无 | 在野利用 | 无 |
| 影响对象范围 | 百万级 | 公开技术细节 | 无 |
0x01漏洞描述
F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。
F5 BIG-IP 存在安全特性绕过漏洞 ,在 Appliance 模式下运行时,分配了管理员角色的经过身份验证的用户可能能够利用未公开的 iControl REST 端点绕过 Appliance 模式限制。成功的利用可以允许攻击者跨越安全边界。
0x02利用条件
需要身份认证
0x03影响版本
BIG-IP 13.x <= 13.1.5
BIG-IP 14.x <= 14.1.5
BIG-IP 15.x <= 15.1.8
BIG-IP 16.x <= 16.1.3
BIG-IP 17.0.0
0x04检测方法
借助版本进行批量检测
0x05修复方案
请尽快安装对应或高于影响范围版本的补丁;
目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本,参考链接如下:
https://support.f5.com/csp/article/K13325942
0x06参考链接
https://support.f5.com/csp/article/K13325942
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论