关于F5 BIG-IP存在远程代码执行漏洞的安全公告

2020-07-06 17:47:36


        2020年7月6日,国家信息安全漏洞共享平台(CNVD)收录了F5 BIG-IP远程代码执行漏洞(CNVD-2020-36383,对应CVE-2020-5902)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞利用代码已公开,厂商已发布补丁进行修复。

        漏洞情况分析

        F5 BIG-IP是美国F5公司一款集成流量管理、DNS、Web应用防火墙、负载均衡等功能的应用交付平台。F5 BIG-IP充分利用了F5的TMOS构架,改进了链路性能,同时还可提供灵活的状态检查功能。

        2020年7月6日,国家信息安全漏洞共享平台(CNVD)收录了F5 BIG-IP远程代码执行漏洞。由于BIG-IP流量管理用户界面(TMUI)存在认证绕过缺陷,导致授权访问机制失效,未经身份验证的攻击者利用该漏洞,通过向目标服务器发送恶意构造请求,可绕过授权访问页面,获得目标服务器权限,实现远程代码执行。

        CNVD对该漏洞的综合评级为“高危”。

        详情请点击下方链接:https://www.cnvd.org.cn/webinfo/show/5605/