0x00基本信息
CVE编号 | CVE-2022-41622 | 信息来源 | 互联网探测 |
CNVD编号 | 未分配 | CNNVD编号 | CNNVD-202211-2929 |
公开日期 | 2022-11-16 | 更新日期 | 2022-11-18 |
威胁类型 | 安全特性绕过 | 技术类型 | 跨站请求伪造 |
公开PoC|EXP | 无 | 在野利用 | 无 |
影响对象范围 | 百万级 | 公开技术细节 | 无 |
0x01漏洞描述
F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。
BIG-IP 和 BIG-IQ 存在跨站请求伪造漏洞,攻击者通过诱使具有资源管理员角色权限并通过的身份认证的用户执行关键操作,从而执行恶意操作。攻击者可通过诱导至少具有资源管理员角色权限并通过 iControl SOAP 中的基本身份验证进行身份验证的用户执行关键操作。攻击者只能通过控制平面利用此漏洞,而不能通过数据平面。如果被利用,该漏洞可能会危及整个系统。
0x02利用条件
需要交互
0x03影响版本
BIG-IP (all modules) 17.0.0
BIG-IP (all modules) 16.x <= 16.1.3
BIG-IP (all modules) 15.x <= 15.1.8
BIG-IP (all modules) 14.x <= 14.1.5
BIG-IP (all modules) 13.x <= 13.1.5
BIG-IQ Centralized Management 8.x<= 8.2.0
BIG-IQ Centralized Management 7.1.0
0x04检测方法
借助版本进行批量检测
0x05修复方案
请尽快安装对应或高于影响范围版本的补丁;
目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本,参考链接如下:
https://support.f5.com/csp/article/K94221585
0x06参考链接
https://support.f5.com/csp/article/K94221585
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论