其餘3個嚴重漏洞分別為:
1、 流量管理用戶介面(Traffic Management User Interface, TMUI)在未公開的頁面中存在具有身分驗證的RCE漏洞(CVE-2021-22987),CVSS評分高達9.9分。
2、流量管理微核心(Traffic Management Microkernel,TMM)存在緩衝區溢位漏洞(CVE-2021-22991),CVSS評分9.0分。
3、 Advanced WAF/ASM存有緩衝區溢位漏洞(CVE-2021-22992),CVSS評分9.0分。
此次,F5所發布的漏洞公告中,除上述
4個較嚴重的RCE漏洞外,另外
3個RCE漏洞的安全公告(
2個高度風險CVE-2021-22988、CVE-2021-22989,1個中度風險CVE-2021-22990,其CVSS評分分別為8.8、8.0、6.6),在允許經過驗證的遠端攻擊者執行任意系統命令,BIG-IP的RCE漏洞可能會導致全面的系統入侵,包括截取控制器應用流量和橫向移動到內部網路。
根據F5的資訊,這7個漏洞在以下BIG-IP版本中已得到修復:16.0.1.1、15.1.2.1、14.1.4、13.1.3.6、12.1.5.3和11.6.5.3。影響BIG-IQ的預授權RCE漏洞(CVE-2021-22986)也在8.0.0、7.1.0.3和7.0.0.2版本中均已修復。
目前F5在BIG-IP升級指南詳細介紹了多種升級方案,並呼籲相關產品用戶盡快進行漏洞修補更新。