Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en varios productos de F5

Fecha de publicación 27/08/2021
Importancia
5 - Crítica
Recursos Afectados
  • BIG-IP (todos los módulos),
  • BIG-IQ.

Consultar en el aviso del fabricante el detalle de las versiones afectadas.

Descripción

F5 ha publicado una vulnerabilidad de severidad crítica, doce de severidad alta, quince de severidad media y una de severidad baja. La crítica, podría permitir a un atacante autenticado, la ejecución de comandos arbitrarios, crear o eliminar archivos o deshabilitar servicios.

Solución

Actualizar a las versiones correspondientes a cada producto afectado, según indica el aviso del fabricante.

Detalle

Una vulnerabilidad en BIG-IP Advanced WAF y ASM TMUI podría permitir a un atacante, autenticado y con acceso a la función de configuración, realizar una escalada de privilegios y así ejecutar comandos arbitrarios, crear o eliminar archivos, o deshabilitar servicios. Se ha asignado el identificador CVE-2021-23031 para esta vulnerabilidad que es crítica si el modo Appliance está activado. Si el anterior modo no estuviera activado, la vulnerabilidad pasaría a ser de severidad alta.

Para las vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2021-23025, CVE-2021-23026, CVE-2021-23027, CVE-2021-23028, CVE-2021-23029, CVE-2021-23030, CVE-2021-23032, CVE-2021-23033, CVE-2021-23034, CVE-2021-23035, CVE-2021-23036 y CVE-2021-23037.

Para las vulnerabilidades de severidad  media se han asignado los identificadores: CVE-2021-23038, CVE-2021-23039, CVE-2021-23040, CVE-2021-23041, CVE-2021-23042, CVE-2021-23043, CVE-2021-23044, CVE-2021-23045, CVE-2021-23046, CVE-2021-23047, CVE-2021-23048, CVE-2021-23049, CVE-2021-23050, CVE-2021-23051 y CVE-2021-23052.

Para la vulnerabilidad de severidad baja se ha asignado el identificador: CVE-2021-23053.

Encuesta valoración