15 października 2025 r. firma F5 opublikowała komunikat bezpieczeństwa w celu usunięcia luk w zabezpieczeniach następujących produktów:
• BIG-IP (wszystkie moduły) – wersje 17.5.0–17.5.1, 17.1.0–17.1.2, 16.1.0–16.1.6, 15.1.0–15.1.10
• BIG-IP AFM – wersja 17.5.0, 17.1.0–17.1.2, 15.1.0–15.1.10
• BIG-IP APM – wersje 17.5.0–17.5.1, 17.1.0–17.1.2, 16.1.0–16.1.6, 15.1.0–15.1.10
• BIG-IP APM, APM z SWG, SSL Orchestrator, SSL Orchestrator z SWG – wersja 17.5.0, wersje 17.1.0 do 17.1.2, wersje 16.1.0 do 16.1.6, wersje 15.1.0 do 15.1.10
• BIG-IP ASM – wersje 17.1.0 do 17.1.2, wersje 16.1.0 do 16.1.5
• BIG-IP Advanced WAF/ASM – wersje 17.5.0 do 17.5.1, wersje 17.1.0 do 17.1.2, wersje 16.1.0 do 16.1.6, wersje 15.1.0 do 15.1.10
• BIG-IP Next CNF – wersje 2.0.0 do 2.1.0, wersje 1.1.0 do 1.4.1
• BIG-IP Next SPK – wersje od 2.0.0 do 2.1.0, wersje od 1.7.0 do 1.9.2
• BIG-IP Next dla Kubernetes – wersje od 2.0.0 do 2.1.0
• BIG-IP PEM – wersja 17.5.0, wersje od 17.1.0 do 17.1.2, wersje od 16.1.0 do 16.1.6, wersje od 15.1.0 do 15.1.10
• BIG-IP SSL Orchestrator – wersja 17.5.0, wersje od 17.1.0 do 17.1.2, wersje od 16.1.0 do 16.1.5, wersje od 15.1.0 do 15.1.10
• F5OS-A – wersje od 1.8.0 do 1.8.1, wersje od 1.5.1 do 1.5.3
• F5OS-C – wersje od 1.8.0 do 1.8.1, wersje od 1.6.0 do 1.6.2
• NGINX App Protect WAF – wersje od 4.5.0 do 4.6.0
15 października 2025 r. firma F5 opublikowała również incydent bezpieczeństwa K000154696, informując, że atakujący wykradli pliki z produktów BIG-IP i nie są świadomi aktywnego wykorzystywania nieujawnionych luk w zabezpieczeniach F5.
Wysoka krytyczność
Opis (CVE) | CVSS | Produkt | Wersja |
K000151902: BIG-IP SCP and SFTP vulnerability CVE-2025-53868 | 8.7 (CVSS v3.1) 8.5 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.5.0 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K000156767: F5OS vulnerability CVE-2025-61955 | 7.8 (tryb standardowy) (CVSS v3.1) 8.8 (tryb urządzenia) (CVSS v3.1) 8.5 (tryb standardowy i urządzenia) (CVSS v4.0) | F5OS-A | 1.8.03 1.5.1 – 1.5.3 |
F5OS-C | 1.8.0 – 1.8.1 1.6.0 – 1.6.23 | ||
K000156771: F5OS vulnerability CVE-2025-57780 | 7.8 (tryb standardowy) (CVSS v3.1) 8.8 (tryb urządzenia) (CVSS v3.1) 8.5 (tryb standardowy i urządzenia) (CVSS v4.0) | F5OS-A | 1.8.03 1.5.1 – 1.5.3 |
F5OS-C | 1.8.0 – 1.8.1 1.6.0 – 1.6.23 | ||
K000139514: BIG-IP SSL/TLS vulnerability CVE-2025-60016 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP (all modules) | 17.1.0 – 17.1.1 |
BIG-IP Next SPK | 1.7.0 – 1.9.2 | ||
BIG-IP Next CNF | 1.1.0 – 1.3.3 | ||
K000150614: BIG-IP MPTCP vulnerability CVE-2025-48008 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.1.0 – 17.1.2 16.1.0 – 16.1.5 15.1.0 – 15.1.10 |
BIG-IP Next SPK | 1.7.0 – 1.9.2 | ||
BIG-IP Next CNF | 1.1.0 – 1.4.1 | ||
K000150637: BIG-IP DNS cache vulnerability CVE-2025-59781 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.1.0 – 17.1.2 16.1.0 – 16.1.5 15.1.0 – 15.1.10 |
BIG-IP Next CNF | 1.1.0 – 1.4.0 | ||
K000150667: BIG-IP SSL Orchestrator vulnerability CVE-2025-41430 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP SSL Orchestrator | 17.5.0 17.1.0 – 17.1.2 16.1.0 – 16.1.3 15.1.0 – 15.1.9 |
K000150752: BIG-IP HTTP/2 vulnerability CVE-2025-55669 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP ASM | 17.1.0 – 17.1.2 16.1.0 – 16.1.5 |
K000151309: BIG-IP DTLS 1.2 vulnerability CVE-2025-61951 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.5.0 17.1.0 – 17.1.2 16.1.0 – 16.1.6 |
K000151368: BIG-IP SSL Orchestrator vulnerability CVE-2025-55036 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP SSL Orchestrator | 17.1.0 – 17.1.2 16.1.0 – 16.1.5 15.1.0 – 15.1.10 |
K000151475: BIG-IP PEM vulnerability CVE-2025-54479 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP PEM | 17.5.0 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
BIG-IP Next CNF | 2.0.0 – 2.1.0 1.1.0 – 1.4.0 | ||
BIG-IP Next for Kubernetes | 2.0.0 – 2.1.0 | ||
K000151611: BIG-IP iRules vulnerability CVE-2025-46706 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.1.0 – 17.1.2 16.1.0 – 16.1.5 |
BIG-IP Next SPK | 1.7.0 – 1.9.2 | ||
BIG-IP Next CNF | 1.1.0 – 1.4.1 | ||
K000152341: BIG-IP AFM DoS protection profile vulnerability CVE-2025-59478 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP AFM | 17.5.0 17.1.0 – 17.1.2 15.1.0 – 15.1.10 |
K000156624: BIG-IP Advanced WAF and ASM bd process vulnerability CVE-2025-61938 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP Advanced WAF/ASM | 17.5.0 17.1.0 – 17.1.2 |
K000156621: BIG-IP Advanced WAF and ASM vulnerability CVE-2025-54858 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP Advanced WAF/ASM | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K000156623: BIG-IP Next (CNF, SPK, and Kubernetes) vulnerability CVE-2025-58120 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP Next SPK | 2.0.0 1.7.0 – 1.7.14 |
BIG-IP Next CNF | 2.0.0 1.1.0 – 1.4.1 | ||
BIG-IP Next for Kubernetes | 2.0.0 | ||
K000156707: BIG-IP TMM vulnerability CVE-2025-53856 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K000156733: BIG-IP SSL/TLS vulnerability CVE-2025-61974 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
BIG-IP Next SPK | 2.0.0 – 2.0.2 1.7.0 – 1.9.2 | ||
BIG-IP Next CNF | 2.0.0 – 2.1.0 1.1.0 – 1.4.1 | ||
BIG-IP Next for Kubernetes | 2.0.0 – 2.1.0 | ||
3.7 (CVSS v3.1) 6.3 (CVSS v4.0) | F5 Silverline (wszystkie usługi) | Nie dotyczy | |
K000156746: BIG-IP IPsec vulnerability CVE-2025-58071 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.5.0 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
BIG-IP Next CNF | 2.0.0 – 2.1.0 1.1.0 – 1.4.1 | ||
BIG-IP Next for Kubernetes | 2.0.0 – 2.1.0 | ||
K000156741: BIG-IP APM vulnerability CVE-2025-53521 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP APM | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K000156597: BIG-IP APM portal access vulnerability CVE-2025-61960 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP APM | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 |
K000156602: BIG-IP APM vulnerability CVE-2025-54854 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP APM | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K44517780: BIG-IP iRules vulnerability CVE-2025-53474 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP APM | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K000156912: BIG-IP TMM vulnerability CVE-2025-61990 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
BIG-IP Next SPK | 2.0.0 – 2.0.2 1.7.0 – 1.9.2 | ||
BIG-IP Next CNF | 2.0.0 – 2.1.0 1.1.0 – 1.4.1 | ||
BIG-IP Next for Kubernetes | 2.0.0 – 2.1.0 | ||
K000156691: BIG-IP TMM vulnerability CVE-2025-58096 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K000154664: BIG-IP Advanced WAF and ASM vulnerability CVE-2025-61935 | 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) | BIG-IP Advanced WAF/ASM | 17.5.0 17.1.0 – 17.1.2 15.1.0 – 15.1.10 |
K000151718: VELOS partition container network vulnerability CVE-2025-59778 | 7.5 (CVSS v3.1) 7.7 (CVSS v4.0) | F5OS-C | 1.8.0 – 1.8.1 1.6.0 – 1.6.23 |
Średnia krytyczność
Opis (CVE) | CVSS | Produkt | Wersja |
K000156642: BIG-IP iControl REST and tmsh vulnerability CVE-2025-59481 | 6.5 (tryb standardowy) (CVSS v3.1) 8.7 (tryb urządzenia) (CVSS v3.1) 8.5 (tryb standardowy i urządzenia) (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K000154647: BIG-IP tmsh vulnerability CVE-2025-61958 | 6.5 (tryb standardowy) (CVSS v3.1) 8.7 (tryb urządzenia) (CVSS v3.1) 8.5 (tryb standardowy i urządzenia) (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K000148816: BIG-IP APM and SSL Orchestrator vulnerability CVE-2025-47148 | 6.5 (CVSS v3.1) 7.1 (CVSS v4.0) | BIG-IP APM, APM with SWG, SSL Orchestrator, SSL Orchestrator with SWG | 17.5.0 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K000149820: F5OS SNMP vulnerability CVE-2025-47150 | 6.5 (CVSS v3.1) 7.1 (CVSS v4.0) | F5OS-A | 1.8.0 – 1.8.13 1.5.1 – 1.5.2 |
F5OS-C | 1.6.0 – 1.6.23 | ||
K000154614: BIG-IP Next (CNF, SPK, and Kubernetes) vulnerability CVE-2025-55670 | 6.5 (CVSS v3.1) 7.1 (CVSS v4.0) | BIG-IP Next SPK | 1.7.0 – 1.9.2 |
BIG-IP Next CNF | 1.1.0 – 1.4.1 | ||
BIG-IP Next for Kubernetes | 2.0.0 | ||
K000151596: BIG-IP TMM vulnerability CVE-2025-54805 | 6.5 (CVSS v3.1) 6.0 (CVSS v4.0) | BIG-IP Next SPK | 1.7.0 – 1.9.2 |
BIG-IP Next CNF | 1.1.0 – 1.4.1 | ||
BIG-IP Next for Kubernetes | 2.0.0 | ||
K000151308: BIG-IP Configuration utility XSS vulnerability CVE-2025-59269 | 6.1 (CVSS v3.1) 8.4 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.5.0 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K000151658: BIG-IP HSB vulnerability CVE-2025-58153 | 5.9 (CVSS v3.1) 8.2 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.5.0 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K000156796: F5OS out-of-bounds write vulnerability CVE-2025-60015 | 5.7 (CVSS v3.1) 6.9 (CVSS v4.0) | F5OS-A | 1.8.03 1.5.1 – 1.5.3 |
F5OS-C | 1.8.0 – 1.8.1 1.6.0 – 1.6.23 | ||
K000156800: BIG-IP Configuration utility vulnerability CVE-2025-59483 | 6.5 (CVSS v3.1) 8.5 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K000154661: F5OS-A FIPS HSM password vulnerability CVE-2025-60013 | 5.7 (CVSS v3.1) 4.6 (CVSS v4.0) | F5OS-A | 1.8.03 1.5.1 – 1.5.3 |
K90301300: BIG-IP Configuration utility vulnerability CVE-2025-59268 | 5.3 (CVSS v3.1) 6.9 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K000148512: BIG-IP Advanced WAF and ASM and NGINX App Protect DNS lookup vulnerability CVE-2025-58474 | 5.3 (CVSS v3.1) 6.9 (CVSS v4.0) | BIG-IP Advanced WAF/ASM | 17.1.0 – 17.1.1 |
NGINX App Protect WAF | 4.5.0 – 4.6.0 | ||
K000156596: BIG-IP APM XSS vulnerability CVE-2025-61933 | 6.1 (CVSS v3.1) 5.1 (CVSS v4.0) | BIG-IP APM | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K000156801: BIG-IP Configuration utility vulnerability CVE-2025-54755 | 4.9 (CVSS v3.1) 6.9 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |
K000148625: F5OS-A FIPS HSM vulnerability CVE-2025-53860 | 4.1 (CVSS v3.1) 5.6 (CVSS v4.0) | F5OS-A | 1.8.03 1.5.1 – 1.5.2 |
Niska krytyczność
Opis (CVE) | CVSS | Produkt | Wersja |
K000151297: BIG-IP TMM vulnerability CVE-2025-58424 | 3.7 (CVSS v3.1) 6.3 (CVSS v4.0) | BIG-IP (wszystkie moduły) | 17.1.0 – 17.1.2 16.1.0 – 16.1.5 15.1.0 – 15.1.10 |
3.1 (CVSS v3.1) 2.3 (CVSS v4.0) | F5 Silverline (wszystkie usługi) | Nie dotyczy |
Narażenia na ryzyko
Opis | Produkt | Wersja |
K000150010: BIG-IP AFM security exposure | BIG-IP AFM | 17.5.0 – 17.5.1 17.1.0 – 17.1.2 16.1.0 – 16.1.6 15.1.0 – 15.1.10 |