[TLP:CLEAR] F5 opravuje 44 zranitelností ve svých produktech

F5 opravuje 44 zranitelností ve svých produktech. Nejzávažnější z nich jsou uvedeny níže, zbylé naleznete na [1] včetně detailních informací o opravených verzích.

F5 BIG-IP - restrictions bypass (CVE-2025-53868)
CVSS 8.7 (High)

Autentizovanému vzdálenému útočníkovi s platnými přihlašovacími údaji a přístupem k SCP a SFTP je kvůli zranitelnosti ve zpracování nezveřejněných příkazů v produktu BIG-IP umožněno obejít omezení režimu Appliance [2].

Zranitelnost se nachází v produktu BIG-IP ve verzích (>=17.5.0 AND <17.5.1) OR (>=17.1.0 AND <=17.1.2) OR (>=16.1.0 AND <=16.1.6 AND >=15.1.0 AND <=15.1.10).

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Více informací:

Zranitelnost byla veřejně oznámena 15. 10. 2025.

F5 F5OS-A, F5OS-C - arbitrary command execution (CVE-2025-61955)
CVSS 8.8 (High)

Autentizovanému lokálnímu útočníkovi je v produktech F5OS-A a F5OS-C umožněno zvýšit svá oprávnění a spouštět libovolné systémové příkazy [3].

Zranitelnost se nachází v produktech:

  • F5OS-A ve verzích (>=1.8.0 AND <1.8.3) OR (>=1.5.1 AND <=1.5.3)
  • F5OS-C ve verzích (>=1.8.0 AND <=1.8.1) OR (>=1.6.0 AND <=1.6.2)

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 15. 10. 2025.

F5 F5OS-A, F5OS-C - arbitrary command execution (CVE-2025-57780)
CVSS 8.8 (High)

Autentizovanému lokálnímu útočníkovi je v produktech F5OS-A a F5OS-C umožněno zvýšit svá oprávnění a spouštět libovolné systémové příkazy [4].

Zranitelnost se nachází v produktech:

  • F5OS-A ve verzích (>=1.8.0 AND <1.8.3) OR (>=1.5.1 AND <=1.5.3)
  • F5OS-C ve verzích (>=1.8.0 AND <=1.8.1) OR (>=1.6.0 AND <=1.6.2)

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 15. 10. 2025.

F5 BIG-IP, BIG-IP Next SPK, BIG-IP Next CNF - DoS (CVE-2025-60016)
CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi je při použití Diffie-Hellman (DH) ECC Brainpool křivek v SSL profilu (Cipher Rule nebo Cipher Group) přiřazeném k virtuálnímu serveru v produktech BIG-IP, BIG-IP Next SPK a BIG-IP Next CNF umožněno vykonat DoS útok [5].

Zranitelnost se nachází v produktech:

  • BIG-IP ve verzích >=17.1.0 AND <=17.1.1
  • BIG-IP Next SPK ve verzích >=1.7.0 AND <=1.9.2
  • BIG-IP Next CNF ve verzích >=1.1.0 AND <=1.3.3

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

Zranitelnost byla veřejně oznámena 15. 10. 2025.

F5 BIG-IP Next SPK, BIG-IP Next CNF, BIG-IP Next for Kubernetes - DoS (CVE-2025-58120)
CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi je kvůli zpracování nespecifikovaného síťového provozu při nakonfigurovaném HTTP/2 Ingress v produktech BIG-IP Next SPK, BIG-IP Next CNF a BIG-IP Next for Kubernetes umožněno vykonat DoS útok [6].

Zranitelnost se nachází v produktech:

  • BIG-IP Next SPK ve verzích (>=2.0.0 AND <2.0.1) OR (>=1.7.0 AND <=1.7.14)
  • BIG-IP Next CNF ve verzích (>=2.0.0 AND <2.0.1) OR (>=1.1.0 AND <=1.4.1)
  • BIG-IP Next for Kubernetes ve verzích >=2.0.0 AND <2.1.0

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

Zranitelnost byla veřejně oznámena 15. 10. 2025.


Za CESNET-CERTS Michaela Jarošová dne 17. 10. 2025.

CESNET-CERTS Logo