Hackernews 编译,转载请注明出处:
Rapid7研究人员在运行CentOS定制发行版的F5 BIG-IP和BIG-IQ设备中发现了几个漏洞。专家们还发现了安全控制的几个绕过,安全供应商F5并不认为这是可利用的漏洞。
专家发现的漏洞有:
CVE-2022-41622是一种通过跨站点请求伪造 (CSRF) 执行未经身份验证的远程代码,会影响BIG-IP和BIG-IQ产品。
供应商发布的公告表示:“攻击者可能会欺骗具有资源管理员角色权限并通过iControl SOAP中的基本身份验证的用户执行关键操作。攻击者只能通过控制平面(而不是数据平面)利用此漏洞。如果被利用,此漏洞可能会危及整个系统。”
CVE-2022-41800是通过RPM规范注入执行经过身份验证的远程代码,驻留在设备模式iControl REST中。在设备模式下,具有分配管理员角色的有效用户凭据的认证用户可以绕过设备模式限制。
公告中写道:“在设备模式下,具有分配给管理员角色的有效用户凭据的认证用户可以绕过设备模式限制。这是一个控制平面问题;没有数据平面暴露。设备模式由特定许可证强制实施,或者可以为单个虚拟群集多处理器(vCMP)来宾实例启用或禁用。”
上述漏洞被评为高严重性。
Rapid7于2022年8月18日向F5报告了这两个漏洞,并支持供应商解决这些问题。
以下是 F5 因不可利用而拒绝的安全控制的绕过:
- ID1145045 – 通过错误的UNIX套接字权限提升本地权限 (CWE-269)
- ID1144093 – 通过不正确的文件上下文绕过SELinux (CWE-732)
- ID1144057 – 通过更新脚本中的命令注入绕过SELinux (CWE-78)
消息来源:securityaffairs,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文