Aviso de seguridad de F5 de octubre 2025
Fecha de publicación 16/10/2025
Identificador
INCIBE-2025-0570
Importancia
4 - Alta
Recursos Afectados
- BIG-IP, todos los módulos;
- F5OS-A;
- F5OS-C;
- BIG-IP Next SPK;
- BIG-IP Next CNF;
- BIG-IP SSL Orchestrator;
- BIG-IP PEM;
- BIG-IP Next for Kubernetes;
- BIG-IP AFM;
- BIG-IP Advanced WAF/ASM;
- F5 Silverline, todos los servicios;
- BIG-IP APM, APM con SWG, SSL Orchestrator, SSL Orchestrator con SWG;
- NGINX App Protect WAF.
Ver las versiones vulnerables en el enlace oficial de la sección de referencias.
Descripción
F5, en su comunicado trimestral de parches de seguridad ha publicado un total de 43 vulnerabilidades que afectan a sus productos, 27 de severidad alta, 15 media y 1 baja. En caso de ser explotadas podrían permitir a un atacante, escalar privilegios, finalizar procesos o incrementar el uso de memoria, entre otros.
Solución
Actualizar el producto a la última versión. Para confirmar la última versión en cada caso y si hay alguna consideración con la actualización, se recomienda consultar el enlace de las referencias.
Detalle
A continuación se muestran las vulnerabilidades de severidad alta y su tipo:
- CVE-2025-53868: neutralización incorrecta de elementos especiales empleados en un comando del SO;
- CVE-2025-61955: neutralización incorrecta de directivas en código evaluado dinámicamente;
- CVE-2025-57780: ejecución con privilegios no necesarios;
- CVE-2025-60016: restricción inadecuada de operaciones dentro de los límites de la memoria del búfer;
- CVE-2025-48008: uso después de la liberación;
- CVE-2025-59781: limpieza incompleta;
- CVE-2025-41430, CVE-2025-46706, CVE-2025-53521 y CVE-2025-59778: asignación de recursos sin límites ni restricciones;
- CVE-2025-55669: uso de un recurso después de que haya expirado o haya sido liberado;
- CVE-2025-61951 y CVE-2025-54854: lectura fuera de límites;
- CVE-2025-55036, CVE-2025-54479 y CVE-2025-58096: escritura fuera de límites;
- CVE-2025-59478: acceso a un puntero no inicializado;
- CVE-2025-61938: validación incorrecta de la cantidad especificada en la entrada;
- CVE-2025-54858: recursión no controlada;
- CVE-2025-58120 y CVE-2025-61960: desreferencia a puntero nulo;
- CVE-2025-53856: alcance incorrecto del flujo de control;
- CVE-2025-61974: falta la liberación de memoria tras el tiempo de vida efectivo;
- CVE-2025-58071: uso de una variable no inicializada;
- CVE-2025-53474: copia del búfer sin comprobar el tamaño de la entrada (desbordamiento clásico del búfer);
- CVE-2025-61990: doble liberación;
- CVE-2025-61935: valor de retorno no comprobado.
CVE
Listado de referencias
Etiquetas
