CVSS: 6.5EPSS: 0%CPEs: 65EXPL: 0CVE-2019-6617
https://notcve.org/view.php?id=CVE-2019-6617
On BIG-IP 14.0.0-14.1.0.1, 13.0.0-13.1.1.4, 12.1.0-12.1.4, 11.6.1-11.6.3.4, and 11.5.2-11.5.8, a user with the Resource Administrator role is able to overwrite sensitive low-level files (such as /etc/passwd) using SFTP to modify user permissions, without Advanced Shell access. This is contrary to our definition for the Resource Administrator (RA) role restrictions. En BIG-IP 14.0.0-14.1.0.1, 13.0.0-13.1.1.4, 12.1.0-12.1.4, 11.6.1-11.6.3.4, y 11.5.2-11.5.8, un usuario con el rol de " Resource Administrator" esta capacitado para sobrescribir archivos sensibles de bajo nivel (como /etc/passwd) empleando SFTP para modificar los permisos de usuarios, sin el acceso a una Shell Avanzada. Esto es opuesto a nuestras restricciones de rol para el "Resource Administrator" (RA). • http://www.securityfocus.com/bid/108186 https://github.com/mirchr/security-research/blob/master/vulnerabilities/F5/CVE-2019-6617.txt https://support.f5.com/csp/article/K38941195 • CWE-269: Improper Privilege Management •
CVSS: 7.2EPSS: 0%CPEs: 65EXPL: 0CVE-2019-6616
https://notcve.org/view.php?id=CVE-2019-6616
On BIG-IP 14.0.0-14.1.0.1, 13.0.0-13.1.1.4, 12.1.0-12.1.4, 11.6.1-11.6.3.4, and 11.5.2-11.5.8, administrative users with TMSH access can overwrite critical system files on BIG-IP which can result in bypass of whitelist / blacklist restrictions enforced by appliance mode. En BIG-IP 14.0.0-14.1.0.1, 13.0.0-13.1.1.4, 12.1.0-12.1.4, 11.6.1-11.6.3.4, y 11.5.2-11.5.8, usuarios administrativos con acceso TMSH pueden sobrescribir archivos críticos del sistema BIG-IP, esto puede resultar en omisión de las restricciones de la lista blanca/negra permitidos por el modo appliance. • http://www.securityfocus.com/bid/108298 https://support.f5.com/csp/article/K82814400 •
CVSS: 6.5EPSS: 0%CPEs: 39EXPL: 0CVE-2019-6614
https://notcve.org/view.php?id=CVE-2019-6614
On BIG-IP 14.0.0-14.1.0.1, 13.0.0-13.1.1.4, and 12.1.0-12.1.4, internal methods used to prevent arbitrary file overwrites in Appliance Mode were not fully effective. An authenticated attacker with a high privilege level may be able to bypass protections implemented in appliance mode to overwrite arbitrary system files. En BIG-IP 14.0.0-14.1.0.1, 13.0.0-13.1.1.4, y 12.1.0-12.1.4, métodos internos empleados para evitar la sobrescritura arbitraria en el "Appliance Mode" no fueron completamente efectivos. Un atacante autenticado con un alto nivel de privilegios es capaz de saltarse las protecciones implementadas en el modo appliance para sobrescribir archivos arbitrarios del sistema. • http://www.securityfocus.com/bid/108297 https://support.f5.com/csp/article/K46524395 •
CVSS: 4.9EPSS: 0%CPEs: 65EXPL: 0CVE-2019-6615
https://notcve.org/view.php?id=CVE-2019-6615
On BIG-IP 14.0.0-14.1.0.1, 13.0.0-13.1.1.4, 12.1.0-12.1.4, 11.6.1-11.6.3.4, and 11.5.2-11.5.8, Administrator and Resource Administrator roles might exploit TMSH access to bypass Appliance Mode restrictions on BIG-IP systems. En BIG-IP 14.0.0-14.1.0.1, 13.0.0-13.1.1.4, 12.1.0-12.1.4, 11.6.1-11.6.3.4, y 11.5.2-11.5.8, los roles de Administrador y "Resource Administrator" podrían explotar el acceso TMSH saltandose las restricciones del "Appliance Mode" en sistemas BIG-IP. • http://www.securityfocus.com/bid/108189 https://support.f5.com/csp/article/K87659521 •
CVSS: 5.3EPSS: 0%CPEs: 52EXPL: 0CVE-2019-6613
https://notcve.org/view.php?id=CVE-2019-6613
On BIG-IP 13.0.0-13.1.1.4, 12.1.0-12.1.4, 11.6.1-11.6.3.4, and 11.5.2-11.5.8, SNMP may expose sensitive configuration objects over insecure transmission channels. This issue is exposed when a passphrase is used with various profile types and is accessed using SNMPv2. En BIG-IP versión 13.0.0-versión 13.1.1.4, versión 12.1.0-versión 12.1.4, versión 11.6.1-versión 11.6.3.4 y versión 11.5.2-versión 11.5.8, SNMP puede exponer objetos de configuración sensibles por medio de canales de transmisión inseguros. Este problema se expone cuando se usa una frase de contraseña con varios tipos de perfil y se accede mediante de SNMPv2. • http://www.securityfocus.com/bid/108183 https://support.f5.com/csp/article/K27400151 • CWE-319: Cleartext Transmission of Sensitive Information •