CVE-2019-6653
https://notcve.org/view.php?id=CVE-2019-6653
There is a Stored Cross Site Scripting vulnerability in the undisclosed page of a BIG-IQ 6.0.0-6.1.0 or 5.2.0-5.4.0 system. The attack can be stored by users granted the Device Manager and Administrator roles. Se presenta una vulnerabilidad de tipo Cross Site Scripting Almacenados en la página no revelada de un sistema BIG-IQ versiones 6.0.0 hasta 6.1.0 o 5.2.0 hasta 5.4.0. El ataque puede ser almacenado por usuarios a los que se les otorgan los roles de Administrador de dispositivos y Administrador. • https://support.f5.com/csp/article/K71712132 https://support.f5.com/csp/article/K71712132?utm_source=f5support&%3Butm_medium=RSS • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-6652
https://notcve.org/view.php?id=CVE-2019-6652
In BIG-IQ 6.0.0-6.1.0, services for stats do not require authentication nor do they implement any form of Transport Layer Security (TLS). En BIG-IQ versiones 6.0.0 hasta 6.1.0, los servicios para estadísticas no requieren autenticación ni implementan ninguna forma de Transport Layer Security (TLS). • https://support.f5.com/csp/article/K23101430 https://support.f5.com/csp/article/K23101430?utm_source=f5support&%3Butm_medium=RSS • CWE-306: Missing Authentication for Critical Function CWE-319: Cleartext Transmission of Sensitive Information •
CVE-2019-6651
https://notcve.org/view.php?id=CVE-2019-6651
In BIG-IP 15.0.0, 14.1.0-14.1.0.6, 14.0.0-14.0.0.5, 13.0.0-13.1.1.5, 12.1.0-12.1.4.1, 11.5.1-11.6.4, BIG-IQ 7.0.0, 6.0.0-6.1.0,5.2.0-5.4.0, iWorkflow 2.3.0, and Enterprise Manager 3.1.1, the Configuration utility login page may not follow best security practices when handling a malicious request. En BIG-IP versiones 15.0.0, 14.1.0 hasta 14.1.0.6, 14.0.0 hasta 14.0.0.5, 13.0.0 hasta 13.1.1.5, 12.1.0 hasta 12.1.4.1, 11.5.1 hasta 11.6.4, BIG-IQ versiones 7.0.0, 6.0.0 hasta 6.1.0, 5.2.0 hasta 5.4.0, iWorkflow versión 2.3.0 y Enterprise Manager versión 3.1.1, la página de inicio de sesión de la utilidad de Configuración puede no seguir las mejores prácticas de seguridad al manejar una petición maliciosa. • https://support.f5.com/csp/article/K89509323 https://support.f5.com/csp/article/K89509323?utm_source=f5support&%3Butm_medium=RSS • CWE-203: Observable Discrepancy •
CVE-2019-10744 – nodejs-lodash: prototype pollution in defaultsDeep function leading to modifying properties
https://notcve.org/view.php?id=CVE-2019-10744
Versions of lodash lower than 4.17.12 are vulnerable to Prototype Pollution. The function defaultsDeep could be tricked into adding or modifying properties of Object.prototype using a constructor payload. Las versiones de lodash inferiores a 4.17.12, son vulnerables a la Contaminación de Prototipo. La función defaultsDeep podría ser engañada para agregar o modificar las propiedades de Object.prototype usando una carga útil de constructor. A Prototype Pollution vulnerability was found in lodash. • https://github.com/ossf-cve-benchmark/CVE-2019-10744 https://access.redhat.com/errata/RHSA-2019:3024 https://security.netapp.com/advisory/ntap-20191004-0005 https://snyk.io/vuln/SNYK-JS-LODASH-450202 https://support.f5.com/csp/article/K47105354?utm_source=f5support&%3Butm_medium=RSS https://www.oracle.com/security-alerts/cpujan2021.html https://www.oracle.com/security-alerts/cpuoct2020.html https://access.redhat.com/security/cve/CVE-2019-10744 https://bugzilla.redhat.com/show_ • CWE-20: Improper Input Validation CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') •
CVE-2019-6621
https://notcve.org/view.php?id=CVE-2019-6621
On BIG-IP 14.1.0-14.1.0.5, 14.0.0-14.0.0.4, 13.0.0-13.1.1.4, 12.1.0-12.1.4.1, 11.6.1-11.6.3.4, and 11.5.2-11.5.8 and BIG-IQ 7.0.0-7.1.0.2, 6.0.0-6.1.0, and 5.1.0-5.4.0, an undisclosed iControl REST worker is vulnerable to command injection by an admin/resource admin user. This issue impacts both iControl REST and tmsh implementations. En BIG-IP versiones 14.1.0-14.1.0.5, 14.0.0-14.0.0.4, 13.0.0-13.1.1.4, 12.1.0-12.1.4.1, 11.6.1-11.6.3.4, y 11.5.2-11.5.8 y BIG-IQ versiones 7.0.0-7.1.0.2, 6.0.0-6.1.0, y 5.1.0-5.4.0, un iControl REST worker no revelado es vulnerable a la inyección de comandos por parte de un usuario administrador o un usuario administrador de recursos. Este problema afecta tanto a iControl REST como a las implementaciones tmsh. • https://support.f5.com/csp/article/K20541896 https://support.f5.com/csp/article/K20541896?utm_source=f5support&%3Butm_medium=RSS • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •