Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Aviso de seguridad de F5 de octubre 2025

Fecha de publicación 16/10/2025
Identificador
INCIBE-2025-0570
Importancia
4 - Alta
Recursos Afectados
  • BIG-IP, todos los módulos;
  • F5OS-A;
  • F5OS-C;
  • BIG-IP Next SPK;
  • BIG-IP Next CNF;
  • BIG-IP SSL Orchestrator;
  • BIG-IP PEM;
  • BIG-IP Next for Kubernetes;
  • BIG-IP AFM;
  • BIG-IP Advanced WAF/ASM;
  • F5 Silverline, todos los servicios;
  • BIG-IP APM, APM con SWG, SSL Orchestrator, SSL Orchestrator con SWG;
  • NGINX App Protect WAF.
Descripción

F5, en su comunicado trimestral de parches de seguridad ha publicado un total de 43 vulnerabilidades que afectan a sus productos, 27 de severidad alta, 15 media y 1 baja. En caso de ser explotadas podrían permitir a un atacante, escalar privilegios, finalizar procesos o incrementar el uso de memoria, entre otros.

Solución

Actualizar el producto a la última versión. Para confirmar la última versión en cada caso y si hay alguna consideración con la actualización, se recomienda consultar el enlace de las referencias.

Detalle

A continuación se muestran las vulnerabilidades de severidad alta y su tipo:

  • CVE-2025-53868: neutralización incorrecta de elementos especiales empleados en un comando del SO;
  • CVE-2025-61955: neutralización incorrecta de directivas en código evaluado dinámicamente;
  • CVE-2025-57780: ejecución con privilegios no necesarios;
  • CVE-2025-60016: restricción inadecuada de operaciones dentro de los límites de la memoria del búfer;
  • CVE-2025-48008: uso después de la liberación;
  • CVE-2025-59781: limpieza incompleta;
  • CVE-2025-41430, CVE-2025-46706, CVE-2025-53521 y CVE-2025-59778: asignación de recursos sin límites ni restricciones;
  • CVE-2025-55669: uso de un recurso después de que haya expirado o haya sido liberado;
  • CVE-2025-61951 y CVE-2025-54854: lectura fuera de límites;
  • CVE-2025-55036, CVE-2025-54479 y CVE-2025-58096: escritura fuera de límites;
  • CVE-2025-59478: acceso a un puntero no inicializado;
  • CVE-2025-61938: validación incorrecta de la cantidad especificada en la entrada;
  • CVE-2025-54858: recursión no controlada;
  • CVE-2025-58120 y CVE-2025-61960: desreferencia a puntero nulo;
  • CVE-2025-53856: alcance incorrecto del flujo de control;
  • CVE-2025-61974: falta la liberación de memoria tras el tiempo de vida efectivo;
  • CVE-2025-58071: uso de una variable no inicializada;
  • CVE-2025-53474: copia del búfer sin comprobar el tamaño de la entrada (desbordamiento clásico del búfer);
  • CVE-2025-61990: doble liberación;
  • CVE-2025-61935: valor de retorno no comprobado.
CVE
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-53868
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-61955
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-59781
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-41430
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-46706
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-53521
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-59778
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-55669
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-61951
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-54854
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-55036
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-54479
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-58096
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-59478
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-61938
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-54858
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-58120
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-61960
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-53856
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-61974
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-58071
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-53474
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-61990
Severidad
Alta
Explotación
No
Fabricante
f5
Identificador CVE
CVE-2025-61935
Severidad
Alta
Listado de referencias
F5 - K000156572: Quarterly Security Notification (October 2025)
Etiquetas