Vulnerabilidad en F5 BIG-IP PEM (CVE-2017-6144)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
20/10/2017
Última modificación:
20/04/2025
Descripción
En F5 BIG-IP PEM 12.1.0 hasta la versión 12.1.2, al descargar el archivo de base de datos Type Allocation Code (TAC) mediante HTTPS, el certificado del servidor no se verifica. Atacantes en una posición privilegiada de la red podrían ser capaces de lanzar un ataque Man-in-the-Middle (MitM) contra estas conexiones. Las bases de datos TAC se emplean en BIG-IP PEM para la detección de tipo de dispositivo y sistema operativo (DTOS) y Tethering. Los clientes que no emplean BIG-IP PEM, no configuran descargas de archivos de base de datos TAC o que no empleen HTTP para esa descarga no están afectados.
Impacto
Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:f5:big-ip_policy_enforcement_manager:12.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_policy_enforcement_manager:12.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_policy_enforcement_manager:12.1.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página