ProductBIG-IP – wiele wersji i platform
BIG-IQ Centralized Management – versions 7.1.0 and 8.0.0 to 8.2.0
Numer CVECVE-2022-41622
Krytyczność8.8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisBIG-IP i BIG-IQ są podatne na ataki typu cross-site request forgery (CSRF) za pośrednictwem iControl SOAP. Atakujący może nakłonić użytkowników, którzy mają co najmniej uprawnienia administratora zasobów i są uwierzytelniani za pomocą podstawowego uwierzytelniania w iControl SOAP, do wykonywania krytycznych działań. Osoba atakująca może wykorzystać tę lukę tylko za pośrednictwem płaszczyzny kontroli, a nie płaszczyzny danych. W przypadku wykorzystania luka może zagrozić całemu systemowi.
  
AktualizacjaNIE
Linkhttps://support.f5.com/csp/article/K94221585
ProductBIG-IP – wszystkie moduły
Numer CVECVE-2022-41800
Krytyczność8.7/10
CVSSAV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N
OpisW trybie urządzenia uwierzytelniony użytkownik z ważnymi poświadczeniami użytkownika, którym przypisano rolę administratora, może ominąć ograniczenia trybu urządzenia. To jest kwestia samolotu kontrolnego; nie ma ekspozycji płaszczyzny danych. Tryb urządzenia jest wymuszany przez konkretną licencję lub może być włączony lub wyłączony dla poszczególnych wystąpień gościa Virtual Clustered Multiprocessing (vCMP).
  
AktualizacjaNIE
Linkhttps://support.f5.com/csp/article/K13325942