F5 BIG-IP 至 11.x Configuration Utility 路径遍历漏洞

CVE编号

CVE-2015-4040

利用情况

暂无

补丁情况

N/A

披露时间

2015-09-18
漏洞描述
F5 BIG-IP产品可为企业提供集成的应用交付服务,如加速、安全、访问控制与高可用性。

F5 BIG-IP 12.0.0之前版本、Enterprise Manager 3.0.0-3.1.1版本,配置程序中存在目录遍历漏洞,经过身份验证的远程用户利用此漏洞可访问Web root内的任意文件。
解决建议
用户可联系供应商获得补丁信息:
http://www.f5.com/bigip
参考链接
http://packetstormsecurity.com/files/133931/F5-BigIP-10.2.4-Build-595.0-HF3-P...
http://www.securitytracker.com/id/1033532
http://www.securitytracker.com/id/1033533
https://support.f5.com/kb/en-us/solutions/public/17000/200/sol17253.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 f5 big-ip_access_policy_manager * Up to
(including)
11.6.0
运行在以下环境
应用 f5 big-ip_advanced_firewall_manager * Up to
(including)
11.6.0
运行在以下环境
应用 f5 big-ip_analytics * Up to
(including)
11.6.0
运行在以下环境
应用 f5 big-ip_application_acceleration_manager * Up to
(including)
11.6.0
运行在以下环境
应用 f5 big-ip_application_security_manager * Up to
(including)
11.6.0
运行在以下环境
应用 f5 big-ip_edge_gateway * Up to
(including)
11.3.0
运行在以下环境
应用 f5 big-ip_global_traffic_manager * Up to
(including)
11.3.0
运行在以下环境
应用 f5 big-ip_link_controller * Up to
(including)
11.3.0
运行在以下环境
应用 f5 big-ip_local_traffic_manager * Up to
(including)
11.6.0
运行在以下环境
应用 f5 big-ip_policy_enforcement_manager * Up to
(including)
11.3.0
运行在以下环境
应用 f5 big-ip_protocol_security_module * Up to
(including)
11.3.0
运行在以下环境
应用 f5 big-ip_wan_optimization_manager * Up to
(including)
11.3.0
运行在以下环境
应用 f5 big-ip_webaccelerator * Up to
(including)
11.3.0
运行在以下环境
应用 f5 enterprise_manager 3.0.0 -
运行在以下环境
应用 f5 enterprise_manager 3.1.0 -
运行在以下环境
应用 f5 enterprise_manager 3.1.1 -
CVSS3评分
4.0
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
    一次
  • 影响范围
    N/A
  • 用户交互
  • 可用性
  • 保密性
    部分地
  • 完整性
AV:N/AC:L/Au:S/C:P/I:N/A:N
CWE-ID 漏洞类型
CWE-22 对路径名的限制不恰当(路径遍历)
阿里云安全产品覆盖情况