Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Un nuevo aviso de seguridad

Múltiples vulnerabilidades en productos F5

Fecha30/10/2023
Importancia5 - Crítica
Recursos Afectados
  • BIG-IP (todos los módulos), versiones:
    • 17.1.0;
    • desde 16.1.0 hasta 16.1.4;
    • desde 15.1.0 hasta 15.1.10;
    • desde 14.1.0 hasta 14.1.5;
    • desde 13.1.0 hasta 13.1.5.
  • BIG-IP Next (todos los módulos), versión 20.0.1.
  • BIG-IP Next SPK, versiones desde 1.5.0 hasta 1.8.2.
  • BIG-IP Next CNF, versiones desde 1.1.0 hasta 1.1.1.
Descripción

F5 ha publicado un aviso de seguridad que contiene información de 2 vulnerabilidades, una crítica y otra alta, cuya explotación podría permitir a un atacante realizar acciones, tales como una ejecución remota de código o una inyección SQL.

Solución

Actualizar a las siguientes versiones y aplicar los correspondientes hotfixes:

  • 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG.
  • 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG.
  • 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG.
  • 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG.
  • 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG.
Detalle

La vulnerabilidad crítica podría permitir a un atacante, no autenticado, con acceso de red al sistema BIG-IP, a través del puerto de gestión y/o direcciones IP propias, ejecutar comandos arbitrarios del sistema. Se ha asignado el identificador CVE-2023-46747 para esta vulnerabilidad.

La vulnerabilidad de severidad alta tiene asignado el identificador CVE-2023-46748.