CVSS: 9.8EPSS: 0%CPEs: 65EXPL: 0CVE-2018-5506
https://notcve.org/view.php?id=CVE-2018-5506
In F5 BIG-IP 13.0.0, 12.1.0-12.1.2, 11.6.1, 11.5.1-11.5.5, or 11.2.1 the Apache modules apache_auth_token_mod and mod_auth_f5_auth_token.cpp allow possible unauthenticated bruteforce on the em_server_ip authorization parameter to obtain which SSL client certificates used for mutual authentication between BIG-IQ or Enterprise Manager (EM) and managed BIG-IP devices. En F5 BIG-IP, en su versión 13.0.0, de la versión 12.1.0a la 12.1.2, la versión 11.6.1, de la versión 11.5.1 a la 11.5.5 o en la versión 11.2.1, los módulos de Apache apache_auth_token_mod y mod_auth_f5_auth_token.cpp permiten un posible ataque de fuerza bruta sin autenticar en el parámetro de autorización em_server_ip para obtener qué certificados de cliente SSL se emplean para autenticación mutua entre dispositivos BIG-IQ o Enterprise Manager (EM) y dispositivos gestionados BIG-IP. • https://support.f5.com/csp/article/K65355492 •
CVSS: 7.5EPSS: 0%CPEs: 91EXPL: 0CVE-2018-5507
https://notcve.org/view.php?id=CVE-2018-5507
On F5 BIG-IP versions 13.0.0, 12.1.0-12.1.3.1, 11.6.1-11.6.2, or 11.5.1-11.5.5, vCMP guests running on VIPRION 2100, 4200 and 4300 series blades cannot correctly decrypt ciphertext from established SSL sessions with small MTU. En F5 BIG-IP, en versiones 13.0.0, de la versión 12.1.0 a la 12.1.3.1, de la versión 11.6.1 a la 11.6.2 o de la versión 11.5.1 a la 11.5.5, los invitados vCMP que se ejecutan en blades VIPRION de las series 2100, 4200 y 4300 no puedes descifrar correctamente el texto cifrado de las sesiones establecidas con SSL con un MTU pequeño. • https://support.f5.com/csp/article/K52521791 •
CVSS: 7.5EPSS: 0%CPEs: 55EXPL: 0CVE-2017-6155
https://notcve.org/view.php?id=CVE-2017-6155
On F5 BIG-IP 13.0.0, 12.0.0-12.1.3.1, 11.6.0-11.6.2, 11.4.1-11.5.5, or 11.2.1, malformed SPDY or HTTP/2 requests may result in a disruption of service to TMM. Data plane is only exposed when a SPDY or HTTP/2 profile is attached to a virtual server. There is no control plane exposure. En F5 BIG-IP, en su versión 13.0.0, de la versión 12.0.0 a la 12.1.3.1, de la versión 11.6.0 a la 11.6.2, la versión 11.4.1a la 11.5.5 o en la versión 11.2.1, las peticiones SPDY o HTTP/2 mal formadas podrían resultar en una interrupción del servicio en TMM. El plano de datos solo se ve expuesto cuando se adjunta un perfil SPDY o HTTP/2 a un servidor virtual. • https://support.f5.com/csp/article/K10930474 •
CVSS: 9.3EPSS: 0%CPEs: 25EXPL: 0CVE-2018-5504
https://notcve.org/view.php?id=CVE-2018-5504
In some circumstances, the Traffic Management Microkernel (TMM) does not properly handle certain malformed Websockets requests/responses, which allows remote attackers to cause a denial-of-service (DoS) or possible remote code execution on the F5 BIG-IP system running versions 13.0.0 - 13.1.0.3 or 12.1.0 - 12.1.3.1. En algunas circunstancias, el TMM (Traffic Management Microkernel) no gestiona correctamente algunas peticiones/respuestas Websockets mal formadas. Esto permite que atacantes remotos provoquen una denegación de servicio (DoS) o una posible ejecución remota de código en el sistema F5 BIG-IP que ejecuta versiones desde la 13.0.0 hasta la 13.1.0.3 o desde la 12.1.0 hasta la 12.1.3.1. • http://www.securitytracker.com/id/1040558 https://support.f5.com/csp/article/K11718033 •
CVSS: 7.5EPSS: 0%CPEs: 13EXPL: 0CVE-2018-5502
https://notcve.org/view.php?id=CVE-2018-5502
On F5 BIG-IP versions 13.0.0 - 13.1.0.3, attackers may be able to disrupt services on the BIG-IP system with maliciously crafted client certificate. This vulnerability affects virtual servers associated with Client SSL profile which enables the use of client certificate authentication. Client certificate authentication is not enabled by default in Client SSL profile. There is no control plane exposure. Desde la versión 13.0.0 hasta la 13.1.0.3 de F5 BIG-IP, los atacantes podrían ser capaces de interrumpir servicios en el sistema BIG-IP con un certificado de cliente maliciosamente manipulado. • http://www.securitytracker.com/id/1040561 https://support.f5.com/csp/article/K43121447 • CWE-295: Improper Certificate Validation •