CVSS: 6.1EPSS: 0%CPEs: 26EXPL: 0CVE-2018-15315
https://notcve.org/view.php?id=CVE-2018-15315
On F5 BIG-IP 13.0.0-13.1.1.1 and 12.1.0-12.1.3.6, there is a reflected Cross Site Scripting (XSS) vulnerability in an undisclosed Configuration Utility page. En F5 BIG-IP 13.0.0-13.1.1.1 y 12.1.0-12.1.3.6, hay una vulnerabilidad Cross-Site Scripting (XSS) reflejado en una página Configuration Utility sin revelar. • http://www.securitytracker.com/id/1041935 https://support.f5.com/csp/article/K41704442 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.9EPSS: 0%CPEs: 52EXPL: 0CVE-2018-15311
https://notcve.org/view.php?id=CVE-2018-15311
When F5 BIG-IP 13.0.0-13.1.0.5, 12.1.0-12.1.3.5, 11.6.0-11.6.3.2, or 11.5.1-11.5.6 is processing specially crafted TCP traffic with the Large Receive Offload (LRO) feature enabled, TMM may crash, leading to a failover event. This vulnerability is not exposed unless LRO is enabled, so most affected customers will be on 13.1.x. LRO has been available since 11.4.0 but is not enabled by default until 13.1.0. Cuando F5 BIG-IP 13.0.0-13.1.0.5, 12.1.0-12.1.3.5, 11.6.0-11.6.3.2 o 11.5.1-11.5.6 está procesando tráfico TCP especialmente manipulado con la característica Large Receive Offload (LRO) habilitada, TMM podría cerrarse inesperadamente, conduciendo a un evento "failover". Esta vulnerabilidad no está expuesta a menos que LRO esté habilitado, por lo que la mayor parte de clientes afectados estarán en las versiones 13.1.x. • https://support.f5.com/csp/article/K07550539 •
CVSS: 7.5EPSS: 0%CPEs: 15EXPL: 0CVE-2016-7475
https://notcve.org/view.php?id=CVE-2016-7475
Under some circumstances on BIG-IP 12.0.0-12.1.0, 11.6.0-11.6.1, or 11.4.0-11.5.4 HF1, the Traffic Management Microkernel (TMM) may not properly clean-up pool member network connections when using SPDY or HTTP/2 virtual server profiles. En algunas circunstancias en BIG-IP 12.0.0-12.1.0, 11.6.0-11.6.1 o 11.4.0-11.5.4 HF1, Traffic Management Microkernel (TMM) podría no limpiar correctamente las conexiones de red de miembros del grupo al emplear los perfiles del servidor virtual SPDY o HTTP/2. • https://support.f5.com/csp/article/K01587042 • CWE-20: Improper Input Validation •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-5548
https://notcve.org/view.php?id=CVE-2018-5548
On BIG-IP APM 11.6.0-11.6.3, an insecure AES ECB mode is used for orig_uri parameter in an undisclosed /vdesk link of APM virtual server configured with an access profile, allowing a malicious user to build a redirect URI value using different blocks of cipher texts. En BIG-IP APM 11.6.0-11.6.3, un modo inseguro AES ECB se emplea para el parámetro orig_uri en un enlace /vdesk sin revelar del servidor virtual APM configurado con un perfil de acceso, lo que permite que un usuario malicioso construya un valor de redirección de URI mediante el uso de diferentes bloques de textos cifrados. • http://sbudella.altervista.org/blog/20180911-cve-2018-5548.html http://www.securityfocus.com/bid/105353 https://support.f5.com/csp/article/K66171422 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2018-15310
https://notcve.org/view.php?id=CVE-2018-15310
A vulnerability in BIG-IP APM portal access 11.5.1-11.5.7, 11.6.0-11.6.3, and 12.1.0-12.1.3 discloses the BIG-IP software version in rewritten pages. Una vulnerabilidad en el acceso al portal de BIG-IP APM 11.5.1-11.5.7, 11.6.0-11.6.3 y 12.1.0-12.1.3 revela la versión de software de BIG-IP en las páginas reescritas. • https://support.f5.com/csp/article/K40625021 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •