Vulnerabilidad en los controles de acceso de scp.whitelist y scp.blacklist en BIG-IP (CVE-2019-6679)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-59
Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
23/12/2019
Última modificación:
02/01/2020
Descripción
En BIG-IP versiones 15.0.0 hasta 15.0.1, 14.1.0.2 hasta 14.1.2.2, 14.0.0.5 hasta 14.0.1, 13.1.1.5 hasta 13.1.3.1, 12.1.4.1 hasta 12.1.5, 11.6.4 hasta 11.6 .5 y 11.5.9 hasta 11.5.10, los controles de acceso implementados por parte de scp.whitelist y scp.blacklist no son aplicados apropiadamente para las rutas que son enlaces simbólicos. Esto permite a usuarios autenticados con acceso SCP sobrescribir ciertos archivos de configuración que de otra manera estarían restringidos.
Impacto
Puntuación base 3.x
3.30
Gravedad 3.x
BAJA
Puntuación base 2.0
3.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 11.5.9 (incluyendo) | 11.5.10 (incluyendo) |
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 11.6.4 (incluyendo) | 11.6.5.1 (excluyendo) |
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 12.1.4.1 (incluyendo) | 12.1.5 (incluyendo) |
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 13.1.1.5 (incluyendo) | 13.1.3.2 (excluyendo) |
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 14.0.0.5 (incluyendo) | 14.0.1.1 (excluyendo) |
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 14.1.0.2 (incluyendo) | 14.1.2.3 (excluyendo) |
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 15.0.0 (incluyendo) | 15.0.1.1 (excluyendo) |
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* | 11.5.9 (incluyendo) | 11.5.10 (incluyendo) |
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* | 11.6.4 (incluyendo) | 11.6.5.1 (excluyendo) |
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* | 12.1.4.1 (incluyendo) | 12.1.5 (incluyendo) |
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* | 13.1.1.5 (incluyendo) | 13.1.3.2 (excluyendo) |
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* | 14.0.0.5 (incluyendo) | 14.0.1.1 (excluyendo) |
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* | 14.1.0.2 (incluyendo) | 14.1.2.3 (excluyendo) |
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* | 15.0.0 (incluyendo) | 15.0.1.1 (excluyendo) |
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:* | 11.5.9 (incluyendo) | 11.5.10 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página