一、基本情况
BIG-IP Next Central Manager是BIG-IP Next的原生默认用户界面,它可跨平台管理BIG-IP Next实例。BIG-IP Next是F5 Networks公司推出的一款下一代BIG-IP软件,提供了多云应用安全和应用交付服务。
二、漏洞描述
F5 Networks发布安全公告,修复了BIG-IP Next Central Manager中的多个注入漏洞,威胁者可利用这些漏洞获取敏感信息并控制设备。这些漏洞的CVSS评分均为7.5,目前PoC已公开,详情如下:
CVE-2024-21793:BIG-IP Next Central Manager OData 注入漏洞
当启用 LDAP时,BIG-IP Next Central Manager 版本20.0.1 - 20.1.0的API (URI) 中存在OData 注入漏洞,该漏洞存在于Central Manager 处理 OData 查询的方式中,可能导致未经身份验证的威胁者注入OData 查询过滤器参数,从而获取敏感信息,如管理员密码哈希等。
CVE-2024-26026:BIG-IP Next Central Manager SQL注入漏洞
BIG-IP Next Central Manager版本20.0.1 - 20.1.0的API (URI) 中存在SQL 注入漏洞,未经身份验证的威胁者可将恶意SQL查询注入数据库查询的输入字段或参数中,从而可能导致未授权访问、管理用户密码哈希等敏感数据泄露和系统接管等。
三、影响范围
BIG-IP Next Central Manager 20.x:20.0.1 - 20.1.0
四、修复建议
目前这些漏洞已经修复,受影响用户可更新到BIG-IP Next Central Manager 20.2.0。
