Vulnerabilidad en las URL en F5 Advanced Web Application Firewall (WAF)/BIG-IP ASM (CVE-2021-23028)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
14/09/2021
Última modificación:
24/09/2021
Descripción
En versiones 16.0.x anteriores a 16.0.1.2, versiones 15.1.x anteriores a 15.1.3.1, versiones 14.1.x anteriores a 14.1.4.2 y versiones 13.1.x anteriores a 13.1.4, cuando los perfiles de contenido JSON están configurados para las URL como parte de una política de seguridad de F5 Advanced Web Application Firewall (WAF)/BIG-IP ASM y se aplican a un servidor virtual, las peticiones no divulgadas pueden causar la terminación del proceso de BIG-IP ASM bd. Nota: Las versiones de software que han alcanzado End of Technical Support (EoTS) no son evaluadas
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:f5:big-ip_advanced_web_application_firewall:*:*:*:*:*:*:*:* | 13.1.3.5 (incluyendo) | 13.1.3.6 (incluyendo) |
cpe:2.3:a:f5:big-ip_advanced_web_application_firewall:*:*:*:*:*:*:*:* | 14.1.3.1 (incluyendo) | 14.1.4.1 (incluyendo) |
cpe:2.3:a:f5:big-ip_advanced_web_application_firewall:*:*:*:*:*:*:*:* | 15.1.1 (incluyendo) | 15.1.3.1 (excluyendo) |
cpe:2.3:a:f5:big-ip_advanced_web_application_firewall:16.0.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:* | 13.1..3.5 (incluyendo) | 13.1.3.6 (incluyendo) |
cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:* | 14.1.3.1 (incluyendo) | 14.1.4.1 (incluyendo) |
cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:* | 15.1.0 (incluyendo) | 15.1.3.1 (excluyendo) |
cpe:2.3:a:f5:big-ip_application_security_manager:16.0.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página