CVSS: 7.4EPSS: 0%CPEs: 84EXPL: 0CVE-2020-5913
https://notcve.org/view.php?id=CVE-2020-5913
In versions 15.0.0-15.1.0.1, 14.1.0-14.1.2.3, 13.1.0-13.1.3.4, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.2, the BIG-IP Client or Server SSL profile ignores revoked certificates, even when a valid CRL is present. This impacts SSL/TLS connections and may result in a man-in-the-middle attack on the connections. En las versiones 15.0.0-15.1.0.1, 14.1.0-14.1.2.3, 13.1.0-13.1.3.4, 12.1.0-12.1.5.1 y 11.6.1-11.6.5.2, el perfil SSL de Cliente o Servidor BIG-IP ignora los certificados revocados, incluso cuando hay una CRL válida. Esto afecta a las conexiones SSL/TLS y puede resultar en un ataque de hombre en medio de las conexiones • https://support.f5.com/csp/article/K72752002 • CWE-295: Improper Certificate Validation •
CVSS: 7.2EPSS: 0%CPEs: 55EXPL: 0CVE-2020-5907
https://notcve.org/view.php?id=CVE-2020-5907
In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.3, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1, an authorized user provided with access only to the TMOS Shell (tmsh) may be able to conduct arbitrary file read/writes via the built-in sftp functionality. En BIG-IP versiones 15.0.0 hasta 15.1.0.3, 14.1.0 hasta 14.1.2.3, 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.1 y 11.6.1 hasta 11.6.5.1, un usuario autorizado proporcionado con acceso solo a TMOS Shell (tmsh) puede ser capaz de conducir lecturas y escrituras arbitrarias de archivos por medio de la funcionalidad sftp incorporada • https://support.f5.com/csp/article/K00091341 https://www.kb.cert.org/vuls/id/290915 •
CVSS: 6.1EPSS: 0%CPEs: 44EXPL: 1CVE-2020-5903
https://notcve.org/view.php?id=CVE-2020-5903
In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, a Cross-Site Scripting (XSS) vulnerability exists in an undisclosed page of the BIG-IP Configuration utility. En BIG-IP versiones 15.0.0 hasta 15.1.0.3, 14.1.0 hasta 14.1.2.5, 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.1, presenta una vulnerabilidad de tipo Cross-Site Scripting (XSS) en una página no revelada de la utilidad de Configuración BIG-IP • https://github.com/ltvthang/CVE-2020-5903 https://support.f5.com/csp/article/K43638305 https://www.kb.cert.org/vuls/id/290915 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 44EXPL: 0CVE-2020-5904
https://notcve.org/view.php?id=CVE-2020-5904
In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, a cross-site request forgery (CSRF) vulnerability in the Traffic Management User Interface (TMUI), also referred to as the Configuration utility, exists in an undisclosed page. En BIG-IP versiones 15.0.0 hasta 15.1.0.3, 14.1.0 hasta 14.1.2.5, 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.1, una vulnerabilidad de tipo cross-site request forgery (CSRF) en Traffic Management User Interface (TMUI), también se conoce como la utilidad de Configuración, presenta en una página no revelada • https://support.f5.com/csp/article/K31301245 https://www.kb.cert.org/vuls/id/290915 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2020-5908
https://notcve.org/view.php?id=CVE-2020-5908
In versions bundled with BIG-IP APM 12.1.0-12.1.5 and 11.6.1-11.6.5.2, Edge Client for Linux exposes full session ID in the local log files. En paquetes de versiones con BIG-IP APM 12.1.0 hasta 12.1.5 y 11.6.1 hasta 11.6.5.2, Edge Client para Linux expone el ID de sesión completa en los archivos de registro locales • https://support.f5.com/csp/article/K33023560 https://www.kb.cert.org/vuls/id/290915 • CWE-532: Insertion of Sensitive Information into Log File •