Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - БДУ ФСТЭК - BDU:2021-04388

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - ФСТЭК BDU:2021-04388
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

BDU:2021-04388

CVSS: 9.8
31.03.2021

Уязвимость интерфейса iControl REST API средств контроля доступа и удаленной аутентификации BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO), серверного программного обеспечения BIG-IQ Centralized Management, позволяющая нарушителю выполнить произвольные команды в целевой системе

Уязвимость интерфейса iControl REST API средств контроля доступа и удаленной аутентификации BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO), серверного программного обеспечения BIG-IQ Centralized Management связана с недостаточной проверкой аргументов, передаваемых в команду. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды в целевой системе
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 31.03.2021
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Существует в открытом доступе
Способ эксплуатации: Инъекция
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций:
https://support.f5.com/csp/article/K03009991

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-78 Некорректная нейтрализация специальных элементов, используемых в системных командах (внедрение команд ОС)

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2021-22986 On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3.6, and 12.1.x b...

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
10 CRITICAL 2.0 AV:N/AC:L/Au:N/C:C/I:C/A:C
9.8 HIGH 3.0 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2021-22986
Вендор:
  • F5 Networks, Inc.
Тип ПО:
  • ПО сетевого программно-аппаратного средства
  • Сетевое средство
  • Средство защиты
  • ПО программно-аппаратных средств защиты
  • Программное средство защиты
Наименование ПО:
  • BIG-IP Application Acceleration Manager
  • BIG-IP Advanced Web Application Firewall
  • BIG-IP Advanced Firewall Manager
  • BIG-IP Analytics
  • BIG-IP Access Policy Manager
  • BIG-IP Application Security Manager
  • BIG-IP DDos Hybrid Defender
  • BIG-IP DNS
  • BIG-IP Global Traffic Manager
  • BIG-IP Link Controller
  • BIG-IP Policy Enforcement Manager
  • BIG-IP SSL Orchestrator
  • BIG-IQ Centralized Management
  • BIG-IP LTM
Версия ПО:
  • от 15.1.0 до 15.1.2.1 (BIG-IP Application Acceleration Manager)
  • от 14.1.0 до 14.1.4 (BIG-IP Application Acceleration Manager)
  • от 13.1.0 до 13.1.3.6 (BIG-IP Application Acceleration Manager)
  • от 12.1.0 до 12.1.5.3 (BIG-IP Application Acceleration Manager)
  • от 16.0.0 до 16.0.1.1 (BIG-IP Advanced Web Application Firewall)
  • от 15.1.0 до 15.1.2.1 (BIG-IP Advanced Web Application Firewall)
  • от 14.1.0 до 14.1.4 (BIG-IP Advanced Web Application Firewall)
  • от 13.1.0 до 13.1.3.6 (BIG-IP Advanced Web Application Firewall)
  • от 16.0.0 до 16.0.1.1 (BIG-IP Advanced Firewall Manager)
  • от 15.1.0 до 15.1.2.1 (BIG-IP Advanced Firewall Manager)
  • от 14.1.0 до 14.1.4 (BIG-IP Advanced Firewall Manager)
  • от 13.1.0 до 13.1.3.6 (BIG-IP Advanced Firewall Manager)
  • от 12.1.0 до 12.1.5.3 (BIG-IP Advanced Firewall Manager)
  • от 16.0.0 до 16.0.1.1 (BIG-IP Analytics)
  • от 15.1.0 до 15.1.2.1 (BIG-IP Analytics)
  • от 14.1.0 до 14.1.4 (BIG-IP Analytics)
  • от 13.1.0 до 13.1.3.6 (BIG-IP Analytics)
  • от 12.1.0 до 12.1.5.3 (BIG-IP Analytics)
  • от 16.0.0 до 16.0.1.1 (BIG-IP Access Policy Manager)
  • от 15.1.0 до 15.1.2.1 (BIG-IP Access Policy Manager)
  • от 14.1.0 до 14.1.4 (BIG-IP Access Policy Manager)
  • от 13.1.0 до 13.1.3.6 (BIG-IP Access Policy Manager)
  • от 12.1.0 до 12.1.5.3 (BIG-IP Access Policy Manager)
  • от 16.0.0 до 16.0.1.1 (BIG-IP Application Security Manager)
  • от 14.1.0 до 14.1.4 (BIG-IP Application Security Manager)
  • от 13.1.0 до 13.1.3.6 (BIG-IP Application Security Manager)
  • от 12.1.0 до 12.1.5.3 (BIG-IP Application Security Manager)
  • от 16.0.0 до 16.0.1.1 (BIG-IP DDos Hybrid Defender)
  • от 15.1.0 до 15.1.2.1 (BIG-IP DDos Hybrid Defender)
  • от 14.1.0 до 14.1.4 (BIG-IP DDos Hybrid Defender)
  • от 13.1.0 до 13.1.3.6 (BIG-IP DDos Hybrid Defender)
  • от 16.0.0 до 16.0.1.1 (BIG-IP DNS)
  • от 15.1.0 до 15.1.2.1 (BIG-IP DNS)
  • от 14.1.0 до 14.1.4 (BIG-IP DNS)
  • от 13.1.0 до 13.1.3.6 (BIG-IP DNS)
  • от 12.1.0 до 12.1.5.3 (BIG-IP DNS)
  • от 16.0.0 до 16.0.1.1 (BIG-IP Global Traffic Manager)
  • от 15.1.0 до 15.1.2.1 (BIG-IP Global Traffic Manager)
  • от 14.1.0 до 14.1.4 (BIG-IP Global Traffic Manager)
  • от 13.1.0 до 13.1.3.6 (BIG-IP Global Traffic Manager)
  • от 12.1.0 до 12.1.5.3 (BIG-IP Global Traffic Manager)
  • от 16.0.0 до 16.0.1.1 (BIG-IP Link Controller)
  • от 15.1.0 до 15.1.2.1 (BIG-IP Link Controller)
  • от 14.1.0 до 14.1.4 (BIG-IP Link Controller)
  • от 13.1.0 до 13.1.3.6 (BIG-IP Link Controller)
  • от 12.1.0 до 12.1.5.3 (BIG-IP Link Controller)
  • от 16.0.0 до 16.0.1.1 (BIG-IP Policy Enforcement Manager)
  • от 15.1.0 до 15.1.2.1 (BIG-IP Policy Enforcement Manager)
  • от 14.1.0 до 14.1.4 (BIG-IP Policy Enforcement Manager)
  • от 13.1.0 до 13.1.3.6 (BIG-IP Policy Enforcement Manager)
  • от 12.1.0 до 12.1.5.3 (BIG-IP Policy Enforcement Manager)
  • от 16.0.0 до 16.0.1.1 (BIG-IP SSL Orchestrator)
  • от 15.1.0 до 15.1.2.1 (BIG-IP SSL Orchestrator)
  • от 14.1.0 до 14.1.4 (BIG-IP SSL Orchestrator)
  • от 13.1.0 до 13.1.3.6 (BIG-IP SSL Orchestrator)
  • от 12.1.0 до 12.1.5.3 (BIG-IP SSL Orchestrator)
  • от 7.1.0 до 7.1.0.3 (BIG-IQ Centralized Management)
  • от 7.0.0 до 7.0.0.2 (BIG-IQ Centralized Management)
  • от 16.0.0 до 16.0.1.1 (BIG-IP LTM)
  • от 15.1.0 до 15.1.2.1 (BIG-IP LTM)
  • от 14.1.0 до 14.1.4 (BIG-IP LTM)
  • от 13.1.0 до 13.1.3.6 (BIG-IP LTM)
  • от 12.1.0 до 12.1.5.3 (BIG-IP LTM)
  • от 16.0.0 до 16.0.1 (BIG-IP Application Acceleration Manager)
Ссылки на источники:
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.