F5 BIG-IP是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。
一、漏洞分析
公开日期:2022-05-07
漏洞编号:CNVD-2022-35519/CVE-2022-1388
危害等级:高危
漏洞描述:F5 BIG-IP存在远程代码执行漏洞,该漏洞是由于iControl REST组件的身份认证功能存在绕过缺陷,导致授权访问机制失效。未经身份验证的攻击者利用该漏洞向目标服务器发送恶意构造请求,从而绕过需要授权访问的页面,在目标系统上执行任意代码,获得目标服务器的权限。
二、漏洞影响产品
F5 BIG-IP 16.1.0-16.1.2
F5 BIG-IP 15.1.0-15.1.5
F5 BIG-IP 14.1.0-14.1.4
F5 BIG-IP 13.1.0-13.1.4
F5 BIG-IP 12.1.0-12.1.6
F5 BIG-IP 11.6.1-11.6.5
三、漏洞处置建议
用户可参考如下供应商提供的安全公告获得补丁信息:
https://support.f5.com/csp/article/K55879220
