CVSS: 5.3EPSS: 0%CPEs: 83EXPL: 0CVE-2019-6651
https://notcve.org/view.php?id=CVE-2019-6651
In BIG-IP 15.0.0, 14.1.0-14.1.0.6, 14.0.0-14.0.0.5, 13.0.0-13.1.1.5, 12.1.0-12.1.4.1, 11.5.1-11.6.4, BIG-IQ 7.0.0, 6.0.0-6.1.0,5.2.0-5.4.0, iWorkflow 2.3.0, and Enterprise Manager 3.1.1, the Configuration utility login page may not follow best security practices when handling a malicious request. En BIG-IP versiones 15.0.0, 14.1.0 hasta 14.1.0.6, 14.0.0 hasta 14.0.0.5, 13.0.0 hasta 13.1.1.5, 12.1.0 hasta 12.1.4.1, 11.5.1 hasta 11.6.4, BIG-IQ versiones 7.0.0, 6.0.0 hasta 6.1.0, 5.2.0 hasta 5.4.0, iWorkflow versión 2.3.0 y Enterprise Manager versión 3.1.1, la página de inicio de sesión de la utilidad de Configuración puede no seguir las mejores prácticas de seguridad al manejar una petición maliciosa. • https://support.f5.com/csp/article/K89509323 https://support.f5.com/csp/article/K89509323?utm_source=f5support&%3Butm_medium=RSS • CWE-203: Observable Discrepancy •
CVSS: 9.1EPSS: 2%CPEs: 81EXPL: 2CVE-2019-10744 – nodejs-lodash: prototype pollution in defaultsDeep function leading to modifying properties
https://notcve.org/view.php?id=CVE-2019-10744
Versions of lodash lower than 4.17.12 are vulnerable to Prototype Pollution. The function defaultsDeep could be tricked into adding or modifying properties of Object.prototype using a constructor payload. Las versiones de lodash inferiores a 4.17.12, son vulnerables a la Contaminación de Prototipo. La función defaultsDeep podría ser engañada para agregar o modificar las propiedades de Object.prototype usando una carga útil de constructor. A Prototype Pollution vulnerability was found in lodash. • https://github.com/ossf-cve-benchmark/CVE-2019-10744 https://access.redhat.com/errata/RHSA-2019:3024 https://security.netapp.com/advisory/ntap-20191004-0005 https://snyk.io/vuln/SNYK-JS-LODASH-450202 https://support.f5.com/csp/article/K47105354?utm_source=f5support&%3Butm_medium=RSS https://www.oracle.com/security-alerts/cpujan2021.html https://www.oracle.com/security-alerts/cpuoct2020.html https://access.redhat.com/security/cve/CVE-2019-10744 https://bugzilla.redhat.com/show_ • CWE-20: Improper Input Validation CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') •
CVSS: 7.2EPSS: 0%CPEs: 80EXPL: 0CVE-2019-6621
https://notcve.org/view.php?id=CVE-2019-6621
On BIG-IP 14.1.0-14.1.0.5, 14.0.0-14.0.0.4, 13.0.0-13.1.1.4, 12.1.0-12.1.4.1, 11.6.1-11.6.3.4, and 11.5.2-11.5.8 and BIG-IQ 7.0.0-7.1.0.2, 6.0.0-6.1.0, and 5.1.0-5.4.0, an undisclosed iControl REST worker is vulnerable to command injection by an admin/resource admin user. This issue impacts both iControl REST and tmsh implementations. En BIG-IP versiones 14.1.0-14.1.0.5, 14.0.0-14.0.0.4, 13.0.0-13.1.1.4, 12.1.0-12.1.4.1, 11.6.1-11.6.3.4, y 11.5.2-11.5.8 y BIG-IQ versiones 7.0.0-7.1.0.2, 6.0.0-6.1.0, y 5.1.0-5.4.0, un iControl REST worker no revelado es vulnerable a la inyección de comandos por parte de un usuario administrador o un usuario administrador de recursos. Este problema afecta tanto a iControl REST como a las implementaciones tmsh. • https://support.f5.com/csp/article/K20541896 https://support.f5.com/csp/article/K20541896?utm_source=f5support&%3Butm_medium=RSS • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 7.2EPSS: 0%CPEs: 54EXPL: 0CVE-2019-6620
https://notcve.org/view.php?id=CVE-2019-6620
On BIG-IP 14.1.0-14.1.0.5, 14.0.0-14.0.0.5, 13.0.0-13.1.1.4, 12.1.0-12.1.4.1, and 11.5.1-11.6.4 and BIG-IQ 6.0.0-6.1.0 and 5.1.0-5.4.0, an undisclosed iControl REST worker vulnerable to command injection for an Administrator user. En BIG-IP versiones 14.1.0-14.1.0.5, 14.0.0-14.0.0.5, 13.0.0-13.1.1.4, 12.1.0-12.1.4.1, y 11.5.1-11.6.4 y BIG-IQ versiones 6.0. 0-6.1.0 y 5.1.0-5.4.0, un iControl REST worker no revelado es vulnerable a la inyección de comandos para un usuario Administrador. • https://support.f5.com/csp/article/K20445457 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 9.0EPSS: 0%CPEs: 69EXPL: 0CVE-2019-6642
https://notcve.org/view.php?id=CVE-2019-6642
In BIG-IP 15.0.0, 14.0.0-14.1.0.5, 13.0.0-13.1.1.5, 12.1.0-12.1.4.2, and 11.5.2-11.6.4, BIG-IQ 6.0.0-6.1.0 and 5.1.0-5.4.0, iWorkflow 2.3.0, and Enterprise Manager 3.1.1, authenticated users with the ability to upload files (via scp, for example) can escalate their privileges to allow root shell access from within the TMOS Shell (tmsh) interface. The tmsh interface allows users to execute a secondary program via tools like sftp or scp. En BIG-IP versiones 15.0.0, 14.0.0-14.1.0.5, 13.0.0-13.1.1.5, 12.1.0-12.1.4.2, y 11.5.2-11.6.4, BIG-IQ versiones 6.0.0-6.1.0 y 5.1.0-5.4.0, iWorkflow versión 2.3.0, y Enterprise Manager versión 3.1.1, los usuarios autenticados con la capacidad de cargar archivos (por ejemplo, mediante scp) pueden escalar sus privilegios para permitir el acceso root al shell desde TMOS Interfaz de shell (tmsh). La interfaz tmsh permite a los usuarios ejecutar un programa secundario mediante las herramientas como sftp o scp. • https://support.f5.com/csp/article/K40378764 https://support.f5.com/csp/article/K40378764?utm_source=f5support&%3Butm_medium=RSS •