Af Eskil Sørensen, 21/02/24
Risiko for afvikling af kode, hvis sårbarheder udnyttes.
Der er fundet en række sårbarheder i tjenester fra F5, som er blevet patchet i forbindelse med virksomhedens kvartårlige opdateringscyklus.
Den mest kritiske sårbarhed er en command injection-sårbarhed med en score på 8,7 og id-nummeret CVE-2024-22093.
De berørte produkter er følgende
- F5 Application Visibility and Reporting module
- F5 BIG-IP
- F5 BIG-IP Next CNF
- F5 BIG-IP Next SPK
- F5 BIG-IQ
- F5 F5OS-A
- F5 F5OS-C
- F5 NGINX Open Source
- F5 NGINX Plus
Sårbarhederne omfatter bl.a. bypass af sikkerhedsmekanismer, eskalering af privilegier , mulighed for afvikling af vilkårlige kommandoer sletning af filer mm.
Links:
https://my.f5.com/manage/s/article/K000138353