[TLP:CLEAR] F5 opravuje 44 zranitelností ve svých produktech
F5 opravuje 44 zranitelností ve svých produktech. Nejzávažnější z nich jsou uvedeny níže, zbylé naleznete na [1] včetně detailních informací o opravených verzích.
Autentizovanému vzdálenému útočníkovi s platnými přihlašovacími údaji a přístupem k SCP a SFTP je kvůli zranitelnosti ve zpracování nezveřejněných příkazů v produktu BIG-IP umožněno obejít omezení režimu Appliance [2].
Zranitelnost se nachází v produktu BIG-IP ve verzích (>=17.5.0 AND <17.5.1) OR (>=17.1.0 AND <=17.1.2) OR (>=16.1.0 AND <=16.1.6 AND >=15.1.0 AND <=15.1.10).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N
Více informací:
- CVE-2025-53868 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 10. 2025.
Autentizovanému lokálnímu útočníkovi je v produktech F5OS-A a F5OS-C umožněno zvýšit svá oprávnění a spouštět libovolné systémové příkazy [3].
Zranitelnost se nachází v produktech:
- F5OS-A ve verzích (>=1.8.0 AND <1.8.3) OR (>=1.5.1 AND <=1.5.3)
- F5OS-C ve verzích (>=1.8.0 AND <=1.8.1) OR (>=1.6.0 AND <=1.6.2)
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-61955 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 10. 2025.
Autentizovanému lokálnímu útočníkovi je v produktech F5OS-A a F5OS-C umožněno zvýšit svá oprávnění a spouštět libovolné systémové příkazy [4].
Zranitelnost se nachází v produktech:
- F5OS-A ve verzích (>=1.8.0 AND <1.8.3) OR (>=1.5.1 AND <=1.5.3)
- F5OS-C ve verzích (>=1.8.0 AND <=1.8.1) OR (>=1.6.0 AND <=1.6.2)
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-57780 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-250: Execution with Unnecessary Privileges at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 10. 2025.
Neautentizovanému vzdálenému útočníkovi je při použití Diffie-Hellman (DH) ECC Brainpool křivek v SSL profilu (Cipher Rule nebo Cipher Group) přiřazeném k virtuálnímu serveru v produktech BIG-IP, BIG-IP Next SPK a BIG-IP Next CNF umožněno vykonat DoS útok [5].
Zranitelnost se nachází v produktech:
- BIG-IP ve verzích >=17.1.0 AND <=17.1.1
- BIG-IP Next SPK ve verzích >=1.7.0 AND <=1.9.2
- BIG-IP Next CNF ve verzích >=1.1.0 AND <=1.3.3
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-60016 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 10. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli zpracování nespecifikovaného síťového provozu při nakonfigurovaném HTTP/2 Ingress v produktech BIG-IP Next SPK, BIG-IP Next CNF a BIG-IP Next for Kubernetes umožněno vykonat DoS útok [6].
Zranitelnost se nachází v produktech:
- BIG-IP Next SPK ve verzích (>=2.0.0 AND <2.0.1) OR (>=1.7.0 AND <=1.7.14)
- BIG-IP Next CNF ve verzích (>=2.0.0 AND <2.0.1) OR (>=1.1.0 AND <=1.4.1)
- BIG-IP Next for Kubernetes ve verzích >=2.0.0 AND <2.1.0
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-58120 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-476: NULL Pointer Dereference at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 10. 2025.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 17. 10. 2025.