Corpus Solutions

CYBERSECURITY EXPERTS
EN
☰ Menu

Corpus Solutions Security Advisory: Zranitelnost F5 – Reflected XSS vulnerability in an undisclosed Configuration utility page

25. 10. 2018

CVE-2018-15315

Verze: 1.0

Shrnutí

Jedná se o Cross-Site Scripting (XSS) zranitelnost, která může být využitá na stránkách, které nejsou známé BIG-IP Configuration utilite.

Popis

Vzdálený neautorizovaný útočník může zneužít danou zranitelnost vytvořením speciálního URL, které obsahuje hostname cílové F5, ke které je uživatel přihlášen pomocí BIG-IP Configuration utility, a škodlivý HTML nebo JavaScript kód.

Dopad

Úspěšné využití této zranitelnosti umožní útočníkovi spustit jím poslaný JavaScript kód s oprávněním právě přihlášeného uživatele.

Zranitelné produkty

Zranitelnost se týká produktu BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, FPS, GTM, Link Controller, PEM, WebAccelerator) a to v následujících verzích:

  • 12.1.0 – 12.1.3
  • 13.0.0 – 13.1.1

Řešení

Pro ochranu před danou zranitelností je potřebné aktualizovat výše uvedené verze produktů BIG-IP alespoň na verzi:

  • 12.1.3.7
  • 13.1.1.2