Aviso de seguridad de F5 de octubre 2025 [Actualización 30/03/2026]
- BIG-IP, todos los módulos;
- F5OS-A;
- F5OS-C;
- BIG-IP Next SPK;
- BIG-IP Next CNF;
- BIG-IP SSL Orchestrator;
- BIG-IP PEM;
- BIG-IP Next for Kubernetes;
- BIG-IP AFM;
- BIG-IP Advanced WAF/ASM;
- F5 Silverline, todos los servicios;
- BIG-IP APM, APM con SWG, SSL Orchestrator, SSL Orchestrator con SWG;
- NGINX App Protect WAF.
Ver las versiones vulnerables en el enlace oficial de la sección de referencias.
F5, en su comunicado trimestral de parches de seguridad ha publicado un total de 43 vulnerabilidades que afectan a sus productos, 27 de severidad alta, 15 media y 1 baja. En caso de ser explotadas podrían permitir a un atacante, escalar privilegios, finalizar procesos o incrementar el uso de memoria, entre otros.
Actualizar el producto a la última versión. Para confirmar la última versión en cada caso y si hay alguna consideración con la actualización, se recomienda consultar el enlace de las referencias.
A continuación se muestran las vulnerabilidades de severidad alta y su tipo:
- CVE-2025-53868: neutralización incorrecta de elementos especiales empleados en un comando del SO;
- CVE-2025-61955: neutralización incorrecta de directivas en código evaluado dinámicamente;
- CVE-2025-57780: ejecución con privilegios no necesarios;
- CVE-2025-60016: restricción inadecuada de operaciones dentro de los límites de la memoria del búfer;
- CVE-2025-48008: uso después de la liberación;
- CVE-2025-59781: limpieza incompleta;
- CVE-2025-41430, CVE-2025-46706, CVE-2025-53521 y CVE-2025-59778: asignación de recursos sin límites ni restricciones;
- CVE-2025-55669: uso de un recurso después de que haya expirado o haya sido liberado;
- CVE-2025-61951 y CVE-2025-54854: lectura fuera de límites;
- CVE-2025-55036, CVE-2025-54479 y CVE-2025-58096: escritura fuera de límites;
- CVE-2025-59478: acceso a un puntero no inicializado;
- CVE-2025-61938: validación incorrecta de la cantidad especificada en la entrada;
- CVE-2025-54858: recursión no controlada;
- CVE-2025-58120 y CVE-2025-61960: desreferencia a puntero nulo;
- CVE-2025-53856: alcance incorrecto del flujo de control;
- CVE-2025-61974: falta la liberación de memoria tras el tiempo de vida efectivo;
- CVE-2025-58071: uso de una variable no inicializada;
- CVE-2025-53474: copia del búfer sin comprobar el tamaño de la entrada (desbordamiento clásico del búfer);
- CVE-2025-61990: doble liberación;
- CVE-2025-61935: valor de retorno no comprobado.
[Actualización 30/03/2026]
F5 ha informado que la vulnerabilidad CVE-2025-53521 está siendo explotada activamente. Esta vulnerabilidad afecta a los sistemas BIG-IP y permite la ejecución de código en remoto. La vulnerabilidad ha sido reclasificada pasando de nivel alto a crítico.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
