CVSS: 6.1EPSS: 0%CPEs: 44EXPL: 1CVE-2020-5903
https://notcve.org/view.php?id=CVE-2020-5903
In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, a Cross-Site Scripting (XSS) vulnerability exists in an undisclosed page of the BIG-IP Configuration utility. En BIG-IP versiones 15.0.0 hasta 15.1.0.3, 14.1.0 hasta 14.1.2.5, 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.1, presenta una vulnerabilidad de tipo Cross-Site Scripting (XSS) en una página no revelada de la utilidad de Configuración BIG-IP • https://github.com/ltvthang/CVE-2020-5903 https://support.f5.com/csp/article/K43638305 https://www.kb.cert.org/vuls/id/290915 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 44EXPL: 0CVE-2020-5904
https://notcve.org/view.php?id=CVE-2020-5904
In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, a cross-site request forgery (CSRF) vulnerability in the Traffic Management User Interface (TMUI), also referred to as the Configuration utility, exists in an undisclosed page. En BIG-IP versiones 15.0.0 hasta 15.1.0.3, 14.1.0 hasta 14.1.2.5, 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.1, una vulnerabilidad de tipo cross-site request forgery (CSRF) en Traffic Management User Interface (TMUI), también se conoce como la utilidad de Configuración, presenta en una página no revelada • https://support.f5.com/csp/article/K31301245 https://www.kb.cert.org/vuls/id/290915 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.1EPSS: 0%CPEs: 33EXPL: 0CVE-2020-5906
https://notcve.org/view.php?id=CVE-2020-5906
In versions 13.1.0-13.1.3.3, 12.1.0-12.1.5.2, and 11.6.1-11.6.5.2, the BIG-IP system does not properly enforce the access controls for the scp.blacklist files. This allows Admin and Resource Admin users with Secure Copy (SCP) protocol access to read and overwrite blacklisted files via SCP. En las versiones 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.2 y 11.6.1 hasta 11.6.5.2, el sistema BIG-IP no aplica apropiadamente los controles de acceso para los archivos scp.blacklist. Esto permite a los usuarios de Admin y Resource Admin con acceso de protocolo Secure Copy (SCP) leer y sobrescribir archivos en la lista negra por medio de SCP • https://support.f5.com/csp/article/K82518062 https://www.kb.cert.org/vuls/id/290915 • CWE-276: Incorrect Default Permissions •
CVSS: 10.0EPSS: 97%CPEs: 84EXPL: 51CVE-2020-5902 – F5 BIG-IP Traffic Management User Interface (TMUI) Remote Code Execution Vulnerability
https://notcve.org/view.php?id=CVE-2020-5902
In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1, the Traffic Management User Interface (TMUI), also referred to as the Configuration utility, has a Remote Code Execution (RCE) vulnerability in undisclosed pages. En BIG-IP versiones 15.0.0 hasta 15.1.0.3, 14.1.0 hasta 14.1.2.5, 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.1 y 11.6.1 hasta 11.6.5.1, el Traffic Management User Interface (TMUI), también se conoce como la utilidad de Configuración, presenta una vulnerabilidad de Ejecución de Código Remota (RCE) en páginas no reveladas BIG-IP versions 15.0.0 through 15.1.0.3, 14.1.0 through 14.1.2.5, 13.1.0 through 13.1.3.3, 12.1.0 through 12.1.5.1, and 11.6.1 through 11.6.5.1 suffer from Traffic Management User Interface (TMUI) arbitrary file read and command execution vulnerabilities. F5 BIG-IP Traffic Management User Interface (TMUI) contains a remote code execution vulnerability in undisclosed pages. • https://github.com/MrCl0wnLab/checker-CVE-2020-5902 https://www.exploit-db.com/exploits/48711 https://www.exploit-db.com/exploits/48642 https://www.exploit-db.com/exploits/48643 https://github.com/jas502n/CVE-2020-5902 https://github.com/yassineaboukir/CVE-2020-5902 https://github.com/aqhmal/CVE-2020-5902-Scanner https://github.com/yasserjanah/CVE-2020-5902 https://github.com/dunderhay/CVE-2020-5902 https://github.com/nsflabs/CVE-2020-5902 https://github.com/zhzyke • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.5EPSS: 0%CPEs: 47EXPL: 0CVE-2020-5890
https://notcve.org/view.php?id=CVE-2020-5890
On BIG-IP 15.0.0-15.0.1, 14.1.0-14.1.2.3, 13.1.0-13.1.3.3, and 12.1.0-12.1.5.1 and BIG-IQ 5.2.0-7.1.0, when creating a QKView, credentials for binding to LDAP servers used for remote authentication of the BIG-IP administrative interface will not fully obfuscate if they contain whitespace. En BIG-IP versiones 15.0.0 hasta 15.0.1, 14.1.0 hasta 14.1.2.3, 13.1.0 hasta 13.1.3.3 y 12.1.0 hasta 12.1.5.1 y BIG-IQ versiones 5.2.0 hasta 7.1.0, al crear un QKView, las credenciales para vincular a los servidores de LDAP utilizados para una autenticación remota de la interfaz administrativa de BIG-IP no se ofuscarán por completo si contienen espacios en blanco. • https://support.f5.com/csp/article/K03318649 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •