Vulnerabilidad en un nuevo peer de sincronización de configuración en mcpd y otros procesos en BIG-IP (CVE-2020-5876)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-319
Transmisión de información sensible en texto claro
Fecha de publicación:
30/04/2020
Última modificación:
21/07/2021
Descripción
En BIG-IP versiones 15.0.0 hasta 15.0.1.3, 14.1.0 hasta 14.1.2.3, 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.1 y 11.6.1 hasta 11.6.5.1, Existe una condición de carrera donde mcpd y otros procesos pueden hacer intentos de conexión sin cifrar a un nuevo peer de sincronización de configuración. La condición de carrera puede presentarse cuando se cambia la dirección IP de ConfigSync de un peer, agregar un nuevo peer o cuando se inicia por primera vez el Traffic Management Microkernel (TMM).
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 11.6.1 (incluyendo) | 11.6.5.1 (incluyendo) |
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 12.1.0 (incluyendo) | 12.1.5.1 (incluyendo) |
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 13.1.0 (incluyendo) | 13.1.3.3 (incluyendo) |
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 14.1.0 (incluyendo) | 14.1.2.3 (incluyendo) |
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* | 15.0.0 (incluyendo) | 15.1.0.3 (incluyendo) |
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* | 11.6.1 (incluyendo) | 11.6.5.1 (incluyendo) |
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* | 12.1.0 (incluyendo) | 12.1.5.1 (incluyendo) |
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* | 13.1.0 (incluyendo) | 13.1.3.3 (incluyendo) |
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* | 14.1.0 (incluyendo) | 14.1.2.3 (incluyendo) |
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* | 15.0.0 (incluyendo) | 15.1.0.3 (incluyendo) |
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:* | 11.6.1 (incluyendo) | 11.6.5.1 (incluyendo) |
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:* | 12.1.0 (incluyendo) | 12.1.5.1 (incluyendo) |
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:* | 13.1.0 (incluyendo) | 13.1.3.3 (incluyendo) |
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:* | 14.1.0 (incluyendo) | 14.1.2.3 (incluyendo) |
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:* | 15.0.0 (incluyendo) | 15.1.0.3 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página