CVSS: 5.9EPSS: 0%CPEs: 69EXPL: 0CVE-2020-5917
https://notcve.org/view.php?id=CVE-2020-5917
26 Aug 2020 — In BIG-IP versions 15.1.0-15.1.0.4, 15.0.0-15.0.1.3, 14.1.0-14.1.2.3, 13.1.0-13.1.3.4, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.2 and BIG-IQ versions 5.2.0-7.0.0, the host OpenSSH servers utilize keys of less than 2048 bits which are no longer considered secure. En BIG-IP versiones 15.1.0-15.1.0.4, 15.0.0-15.0.1.3, 14.1.0-14.1.2.3, 13.1.0-13.1.3.4, 12.1.0-12.1.5.1 y 11.6.1- 11.6.5.2 y BIG-IQ versiones 5.2.0-7.0.0, los servidores host OpenSSH usan claves de menos de 2048 bits que ya no son consideradas seguras • https://support.f5.com/csp/article/K43404629 • CWE-326: Inadequate Encryption Strength •
CVSS: 7.4EPSS: 0%CPEs: 84EXPL: 0CVE-2020-5913
https://notcve.org/view.php?id=CVE-2020-5913
26 Aug 2020 — In versions 15.0.0-15.1.0.1, 14.1.0-14.1.2.3, 13.1.0-13.1.3.4, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.2, the BIG-IP Client or Server SSL profile ignores revoked certificates, even when a valid CRL is present. This impacts SSL/TLS connections and may result in a man-in-the-middle attack on the connections. En las versiones 15.0.0-15.1.0.1, 14.1.0-14.1.2.3, 13.1.0-13.1.3.4, 12.1.0-12.1.5.1 y 11.6.1-11.6.5.2, el perfil SSL de Cliente o Servidor BIG-IP ignora los certificados revocados, incluso cuando hay una CRL v... • https://support.f5.com/csp/article/K72752002 • CWE-295: Improper Certificate Validation •
CVSS: 7.2EPSS: 0%CPEs: 55EXPL: 0CVE-2020-5907
https://notcve.org/view.php?id=CVE-2020-5907
01 Jul 2020 — In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.3, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1, an authorized user provided with access only to the TMOS Shell (tmsh) may be able to conduct arbitrary file read/writes via the built-in sftp functionality. En BIG-IP versiones 15.0.0 hasta 15.1.0.3, 14.1.0 hasta 14.1.2.3, 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.1 y 11.6.1 hasta 11.6.5.1, un usuario autorizado proporcionado con acceso solo a TMOS Shell (tmsh) puede ser capaz de conducir lecturas y ... • https://support.f5.com/csp/article/K00091341 •
CVSS: 6.1EPSS: 0%CPEs: 44EXPL: 1CVE-2020-5903
https://notcve.org/view.php?id=CVE-2020-5903
01 Jul 2020 — In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, a Cross-Site Scripting (XSS) vulnerability exists in an undisclosed page of the BIG-IP Configuration utility. En BIG-IP versiones 15.0.0 hasta 15.1.0.3, 14.1.0 hasta 14.1.2.5, 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.1, presenta una vulnerabilidad de tipo Cross-Site Scripting (XSS) en una página no revelada de la utilidad de Configuración BIG-IP • https://github.com/ltvthang/CVE-2020-5903 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 44EXPL: 0CVE-2020-5904
https://notcve.org/view.php?id=CVE-2020-5904
01 Jul 2020 — In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, a cross-site request forgery (CSRF) vulnerability in the Traffic Management User Interface (TMUI), also referred to as the Configuration utility, exists in an undisclosed page. En BIG-IP versiones 15.0.0 hasta 15.1.0.3, 14.1.0 hasta 14.1.2.5, 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.1, una vulnerabilidad de tipo cross-site request forgery (CSRF) en Traffic Management User Interface (TMUI), también se conoce como la util... • https://support.f5.com/csp/article/K31301245 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 10.0EPSS: 97%CPEs: 84EXPL: 72CVE-2020-5902 – F5 BIG-IP Traffic Management User Interface (TMUI) Remote Code Execution Vulnerability
https://notcve.org/view.php?id=CVE-2020-5902
01 Jul 2020 — In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1, the Traffic Management User Interface (TMUI), also referred to as the Configuration utility, has a Remote Code Execution (RCE) vulnerability in undisclosed pages. En BIG-IP versiones 15.0.0 hasta 15.1.0.3, 14.1.0 hasta 14.1.2.5, 13.1.0 hasta 13.1.3.3, 12.1.0 hasta 12.1.5.1 y 11.6.1 hasta 11.6.5.1, el Traffic Management User Interface (TMUI), también se conoce como la utilidad de Configuración, present... • https://packetstorm.news/files/id/175671 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-5898
https://notcve.org/view.php?id=CVE-2020-5898
12 May 2020 — In versions 7.1.5-7.1.9, BIG-IP Edge Client Windows Stonewall driver does not sanitize the pointer received from the userland. A local user on the Windows client system can send crafted DeviceIoControl requests to \\.\urvpndrv device causing the Windows kernel to crash. En versiones 7.1.5 hasta 7.1.9, el controlador BIG-IP Edge Client Windows Stonewall, no sanea el puntero recibido desde el userland. Un usuario local en el sistema cliente de Windows puede enviar peticiones DeviceIoControl hacia el dispositi... • https://support.f5.com/csp/article/K69154630 •
CVSS: 7.8EPSS: 0%CPEs: 6EXPL: 0CVE-2020-5896
https://notcve.org/view.php?id=CVE-2020-5896
12 May 2020 — On versions 7.1.5-7.1.9, the BIG-IP Edge Client's Windows Installer Service's temporary folder has weak file and folder permissions. En versiones 7.1.5-7.1.9, la carpeta temporal del Windows Installer Service de BIG-IP Edge Client, presenta permisos débiles de archivo y carpeta. • https://support.f5.com/csp/article/K15478554 • CWE-276: Incorrect Default Permissions •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2020-5897
https://notcve.org/view.php?id=CVE-2020-5897
12 May 2020 — In versions 7.1.5-7.1.9, there is use-after-free memory vulnerability in the BIG-IP Edge Client Windows ActiveX component. En versiones 7.1.5 hasta 7.1.9, se presenta una vulnerabilidad de uso de la memoria previamente liberada en el componente BIG-IP Edge Client Windows ActiveX. • https://support.f5.com/csp/article/K20346072 • CWE-416: Use After Free •
CVSS: 5.5EPSS: 0%CPEs: 47EXPL: 0CVE-2020-5890
https://notcve.org/view.php?id=CVE-2020-5890
30 Apr 2020 — On BIG-IP 15.0.0-15.0.1, 14.1.0-14.1.2.3, 13.1.0-13.1.3.3, and 12.1.0-12.1.5.1 and BIG-IQ 5.2.0-7.1.0, when creating a QKView, credentials for binding to LDAP servers used for remote authentication of the BIG-IP administrative interface will not fully obfuscate if they contain whitespace. En BIG-IP versiones 15.0.0 hasta 15.0.1, 14.1.0 hasta 14.1.2.3, 13.1.0 hasta 13.1.3.3 y 12.1.0 hasta 12.1.5.1 y BIG-IQ versiones 5.2.0 hasta 7.1.0, al crear un QKView, las credenciales para vincular a los servidores de LDA... • https://support.f5.com/csp/article/K03318649 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •