Vulnerabilidad en la utilidad Configuration en múltiples productos F5 BIG-IP (CVE-2014-6032)
Gravedad CVSS v2.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/11/2014
Última modificación:
12/04/2025
Descripción
Múltiples vulnerabilidades XXE en la utilidad Configuration en F5 BIG-IP LTM, ASM, GTM y Link Controller 11.0 hasta la versión 11.6.0 and 10.0.0 hasta la versión 10.2.4, AAM 11.4.0 hasta la versión 11.6.0, ARM 11.3.0 hasta la versión 11.6.0, Analytics 11.0.0 hasta la versión 11.6.0, APM y Edge Gateway 11.0.0 hasta la versión 11.6.0 and 10.1.0 hasta la versión 10.2.4, PEM 11.3.0 hasta la versión 11.6.0, PSM 11.0.0 hasta la versión 11.4.1 y 10.0.0 hasta la versión 10.2.4 y WOM 11.0.0 hasta la versión 11.3.0 y 10.0.0 hasta la versión 10.2.4 y Enterprise Manager 3.0.0 hasta la versión 3.1.1 y 2.1.0 hasta la versión 2.3.0 permiten a usuarios remotos autenticados leer archivos arbitrarios y causar una denegación de servicio a través de una petición manipulada, según lo demostrado usando elementos (1) viewlist o (2) deal.
Impacto
Puntuación base 2.0
5.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:f5:big-ip_protocol_security_module:10.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_protocol_security_module:10.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_protocol_security_module:10.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_protocol_security_module:10.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_protocol_security_module:10.2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_protocol_security_module:10.2.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_protocol_security_module:10.2.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_protocol_security_module:11.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_protocol_security_module:11.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_protocol_security_module:11.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_protocol_security_module:11.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_protocol_security_module:11.3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_protocol_security_module:11.4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_protocol_security_module:11.4.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:f5:big-ip_global_traffic_manager:10.0.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/128915/F5-Big-IP-11.3.0.39.0-XML-External-Entity-Injection-1.html
- http://seclists.org/fulldisclosure/2014/Oct/128
- http://seclists.org/fulldisclosure/2014/Oct/129
- http://seclists.org/fulldisclosure/2014/Oct/130
- http://www.securityfocus.com/bid/70834
- http://www.securitytracker.com/id/1031144
- http://www.securitytracker.com/id/1031145
- https://exchange.xforce.ibmcloud.com/vulnerabilities/98402
- https://exchange.xforce.ibmcloud.com/vulnerabilities/98403
- https://support.f5.com/kb/en-us/solutions/public/15000/600/sol15605.html
- https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-6032/
- https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-6033/
- http://packetstormsecurity.com/files/128915/F5-Big-IP-11.3.0.39.0-XML-External-Entity-Injection-1.html
- http://seclists.org/fulldisclosure/2014/Oct/128
- http://seclists.org/fulldisclosure/2014/Oct/129
- http://seclists.org/fulldisclosure/2014/Oct/130
- http://www.securityfocus.com/bid/70834
- http://www.securitytracker.com/id/1031144
- http://www.securitytracker.com/id/1031145
- https://exchange.xforce.ibmcloud.com/vulnerabilities/98402
- https://exchange.xforce.ibmcloud.com/vulnerabilities/98403
- https://support.f5.com/kb/en-us/solutions/public/15000/600/sol15605.html
- https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-6032/
- https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-6033/