Vulnerabilidad en el ID de sesión en BIG-IP APM Edge Client y BIG-IP APM (CVE-2019-6656)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
25/09/2019
Última modificación:
07/11/2023
Descripción
BIG-IP APM Edge Client versiones anteriores a 7.1.8 (7180.2019.508.705) registra el ID completo de la sesión apm en los archivos de registro. Las versiones vulnerables del cliente son incorporadas con las versiones BIG-IP APM 15.0.0 hasta 15.0.1, 14,1.0 hasta 14.1.0.6, 14.0.0 hasta 14.0.0.4, 13.0.0 hasta 13.1.1.5, 12.1.0 hasta 12.1 .5 y 11.5.1 hasta 11.6.5. En BIG-IP APM versión 13.1.0 y posteriores, los componentes de los clientes APM pueden actualizarse independientemente del software BIG-IP. Cliente versión 7.1.8 (7180.2019.508.705) y posterior tiene la corrección.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 11.5.2 (incluyendo) | 11.6.5 (incluyendo) |
| cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 12.1.0 (incluyendo) | 12.1.5 (incluyendo) |
| cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 13.1.0 (incluyendo) | 13.1.3 (excluyendo) |
| cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 14.0.0 (incluyendo) | 14.0.0.5 (excluyendo) |
| cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 14.1.0 (incluyendo) | 14.1.2 (excluyendo) |
| cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 15.0.0 (incluyendo) | 15.0.1 (incluyendo) |
| cpe:2.3:a:f5:big-ip_access_policy_manager_client:*:*:*:*:*:*:*:* | 7.1.5 (incluyendo) | 7.1.8 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página