CVSS: 7.4EPSS: 0%CPEs: 84EXPL: 0CVE-2020-5913
https://notcve.org/view.php?id=CVE-2020-5913
26 Aug 2020 — In versions 15.0.0-15.1.0.1, 14.1.0-14.1.2.3, 13.1.0-13.1.3.4, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.2, the BIG-IP Client or Server SSL profile ignores revoked certificates, even when a valid CRL is present. This impacts SSL/TLS connections and may result in a man-in-the-middle attack on the connections. En las versiones 15.0.0-15.1.0.1, 14.1.0-14.1.2.3, 13.1.0-13.1.3.4, 12.1.0-12.1.5.1 y 11.6.1-11.6.5.2, el perfil SSL de Cliente o Servidor BIG-IP ignora los certificados revocados, incluso cuando hay una CRL v... • https://support.f5.com/csp/article/K72752002 • CWE-295: Improper Certificate Validation •
CVSS: 7.2EPSS: 0%CPEs: 55EXPL: 0CVE-2020-5907
https://notcve.org/view.php?id=CVE-2020-5907
01 Jul 2020 — In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.3, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1, an authorized user provided with access only to the TMOS Shell (tmsh) may be able to conduct arbitrary file read/writes via the built-in sftp functionality. En BIG-IP versiones 15.0.0 hasta 15.1.0.3, 14.1.0 hasta 14.1.2.3, 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.1 y 11.6.1 hasta 11.6.5.1, un usuario autorizado proporcionado con acceso solo a TMOS Shell (tmsh) puede ser capaz de conducir lecturas y ... • https://support.f5.com/csp/article/K00091341 •
CVSS: 6.1EPSS: 0%CPEs: 44EXPL: 1CVE-2020-5903
https://notcve.org/view.php?id=CVE-2020-5903
01 Jul 2020 — In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, a Cross-Site Scripting (XSS) vulnerability exists in an undisclosed page of the BIG-IP Configuration utility. En BIG-IP versiones 15.0.0 hasta 15.1.0.3, 14.1.0 hasta 14.1.2.5, 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.1, presenta una vulnerabilidad de tipo Cross-Site Scripting (XSS) en una página no revelada de la utilidad de Configuración BIG-IP • https://github.com/ltvthang/CVE-2020-5903 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 44EXPL: 0CVE-2020-5904
https://notcve.org/view.php?id=CVE-2020-5904
01 Jul 2020 — In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, a cross-site request forgery (CSRF) vulnerability in the Traffic Management User Interface (TMUI), also referred to as the Configuration utility, exists in an undisclosed page. En BIG-IP versiones 15.0.0 hasta 15.1.0.3, 14.1.0 hasta 14.1.2.5, 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.1, una vulnerabilidad de tipo cross-site request forgery (CSRF) en Traffic Management User Interface (TMUI), también se conoce como la util... • https://support.f5.com/csp/article/K31301245 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 10.0EPSS: 97%CPEs: 84EXPL: 72CVE-2020-5902 – F5 BIG-IP Traffic Management User Interface (TMUI) Remote Code Execution Vulnerability
https://notcve.org/view.php?id=CVE-2020-5902
01 Jul 2020 — In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1, the Traffic Management User Interface (TMUI), also referred to as the Configuration utility, has a Remote Code Execution (RCE) vulnerability in undisclosed pages. En BIG-IP versiones 15.0.0 hasta 15.1.0.3, 14.1.0 hasta 14.1.2.5, 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.1 y 11.6.1 hasta 11.6.5.1, el Traffic Management User Interface (TMUI), también se conoce como la utilidad de Configuración, present... • https://packetstorm.news/files/id/175671 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.5EPSS: 0%CPEs: 47EXPL: 0CVE-2020-5890
https://notcve.org/view.php?id=CVE-2020-5890
30 Apr 2020 — On BIG-IP 15.0.0-15.0.1, 14.1.0-14.1.2.3, 13.1.0-13.1.3.3, and 12.1.0-12.1.5.1 and BIG-IQ 5.2.0-7.1.0, when creating a QKView, credentials for binding to LDAP servers used for remote authentication of the BIG-IP administrative interface will not fully obfuscate if they contain whitespace. En BIG-IP versiones 15.0.0 hasta 15.0.1, 14.1.0 hasta 14.1.2.3, 13.1.0 hasta 13.1.3.3 y 12.1.0 hasta 12.1.5.1 y BIG-IQ versiones 5.2.0 hasta 7.1.0, al crear un QKView, las credenciales para vincular a los servidores de LDA... • https://support.f5.com/csp/article/K03318649 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 8.1EPSS: 0%CPEs: 33EXPL: 0CVE-2020-5888
https://notcve.org/view.php?id=CVE-2020-5888
30 Apr 2020 — On versions 15.1.0-15.1.0.1, 15.0.0-15.0.1.2, and 14.1.0-14.1.2.3, BIG-IP Virtual Edition (VE) may expose a mechanism for adjacent network (layer 2) attackers to access local daemons and bypass port lockdown settings. En las versiones 15.1.0 hasta la versión 15.1.0.1, 15.0.0 hasta 15.0.1.2 y 14.1.0 hasta 14.1.2.3, BIG-IP Virtual Edition (VE) puede exponer un mecanismo para que atacantes de la red adyacente (capa 2) accedan a demonios locales y omitan la configuración de bloqueo de puerto. • https://support.f5.com/csp/article/K73274382 •
CVSS: 9.1EPSS: 0%CPEs: 44EXPL: 0CVE-2020-5886
https://notcve.org/view.php?id=CVE-2020-5886
30 Apr 2020 — On versions 15.0.0-15.1.0.1, 14.1.0-14.1.2.3, 13.1.0-13.1.3.3, and 12.1.0-12.1.5.1, BIG-IP systems setup for connection mirroring in a High Availability (HA) pair transfers sensitive cryptographic objects over an insecure communications channel. This is a control plane issue which is exposed only on the network used for connection mirroring. En las versiones 15.0.0 hasta 15.1.0.1, 14.1.0 hasta 14.1.2.3, 13.1.0 hasta 13.1.3.3 y 12.1.0 hasta 12.1.5.1, la configuración del sistema de BIG-IP para una duplicació... • https://support.f5.com/csp/article/K65720640 • CWE-319: Cleartext Transmission of Sensitive Information CWE-326: Inadequate Encryption Strength •
CVSS: 9.1EPSS: 0%CPEs: 44EXPL: 0CVE-2020-5885
https://notcve.org/view.php?id=CVE-2020-5885
30 Apr 2020 — On versions 15.0.0-15.1.0.1, 14.1.0-14.1.2.3, 13.1.0-13.1.3.3, and 12.1.0-12.1.5.1, BIG-IP systems set up for connection mirroring in a high availability (HA) pair transfer sensitive cryptographic objects over an insecure communications channel. This is a control plane issue which is exposed only on the network used for connection mirroring. En las versiones 15.0.0 hasta 15.1.0.1, 14.1.0 hasta 14.1.2.3, 13.1.0 hasta 13.1.3.3 y 12.1.0 hasta 12.1.5.1, la configuración del sistema de BIG-IP para una duplicació... • https://support.f5.com/csp/article/K17663061 • CWE-319: Cleartext Transmission of Sensitive Information CWE-326: Inadequate Encryption Strength •
CVSS: 7.5EPSS: 0%CPEs: 33EXPL: 0CVE-2020-5881
https://notcve.org/view.php?id=CVE-2020-5881
30 Apr 2020 — On versions 15.0.0-15.1.0.1, 14.1.0-14.1.2.3, and 13.1.0-13.1.3.3, when the BIG-IP Virtual Edition (VE) is configured with VLAN groups and there are devices configured with OSPF connected to it, the Network Device Abstraction Layer (NDAL) Interfaces can lock up and in turn disrupting the communication between the mcpd and tmm processes. En las versiones 15.0.0 hasta 15.1.0.1, 14.1.0 hasta 14.1.2.3 y 13.1.0 hasta 13.1.3.3, cuando BIG-IP Virtual Edition (VE) está configurado con grupos VLAN y existen disposit... • https://support.f5.com/csp/article/K03386032 •