Introducción
Se ha publicado recientemente una vulnerabilidad que afecta a la configuración de BIG-IP. En ella, las solicitudes no divulgadas pueden pasar por alto la autenticación de la utilidad de configuración.
Análisis
CVE-2023-46747
Esta vulnerabilidad puede permitir que un atacante no autenticado con acceso de red al sistema BIG-IP a través del puerto de administración y/o direcciones IP propias ejecute comandos arbitrarios del sistema. No hay exposición al plano de datos; Este es un problema únicamente del plano de control.
Recursos afectados
BIG-IP:
- 17.x – 17.1.0 – 17.1.0.3
- 16.x – 16.1.0 – 16.1.4 – 16.1.4.1
- 15.x – 15.1.0 – 15.1.10 – 15.1.10.2
- 14.x – 14.1.0 – 14.1.5 – 14.1.5.6
- 13.x – 13.1.0 – 13.1.5
Recomendaciones
Aplicar los cambios como se indica en el apartado mitigaciòn en la url : https://my.f5.com/manage/s/article/K000137353.
Referencias
https://my.f5.com/manage/s/article/K000137353