CVE-2020-27718
https://notcve.org/view.php?id=CVE-2020-27718
When a BIG-IP ASM or Advanced WAF system running version 16.0.0-16.0.0.1, 15.1.0-15.1.0.5, 14.1.0-14.1.3, 13.1.0-13.1.3.4, 12.1.0-12.1.5.2, or 11.6.1-11.6.5.2 processes requests with JSON payload, an unusually large number of parameters can cause excessive CPU usage in the BIG-IP ASM bd process. Cuando un sistema BIG-IP ASM o Advanced WAF ejecutándose en las versiones 16.0.0-16.0.0.1, 15.1.0-15.1.0.5, 14.1.0-14.1.3, 13.1.0-13.1.3.4, 12.1.0-12.1. 5.2, o 11.6.1-11.6.5.2, procesa peticiones con carga útil JSON, una cantidad inusualmente grande de parámetros pueden causar un uso excesivo de la CPU en el proceso bd de BIG-IP ASM • https://support.f5.com/csp/article/K58102101 •
CVE-2020-5948
https://notcve.org/view.php?id=CVE-2020-5948
On BIG-IP versions 16.0.0-16.0.0.1, 15.1.0-15.1.0.5, 14.1.0-14.1.2.7, 13.1.0-13.1.3.4, 12.1.0-12.1.5.2, and 11.6.1-11.6.5.2, undisclosed endpoints in iControl REST allow for a reflected XSS attack, which could lead to a complete compromise of the BIG-IP system if the victim user is granted the admin role. En BIG-IP versiones 16.0.0-16.0.0.1, 15.1.0-15.1.0.5, 14.1.0-14.1.2.7, 13.1.0-13.1.3.4, 12.1.0-12.1.5.2 y 11.6.1- 11.6.5.2, los endpoints no divulgados en iControl REST permiten un ataque de tipo XSS reflejado, lo que podría conllevar a un compromiso completo del sistema BIG-IP si el usuario víctima se le concede el papel de administrador • https://support.f5.com/csp/article/K42696541 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-5943
https://notcve.org/view.php?id=CVE-2020-5943
In versions 14.1.0-14.1.0.1 and 14.1.2.5-14.1.2.7, when a BIG-IP object is created or listed through the REST interface, the protected fields are obfuscated in the REST response, not protected via a SecureVault cryptogram as TMSH does. One example of protected fields is the GTM monitor password. En las versiones 14.1.0-14.1.0.1 y 14.1.2.5-14.1.2.7, cuando un objeto de BIG-IP es creado o listado por medio de la interfaz REST, los campos protegidos están ofuscados en la respuesta de REST, no se protegen por medio de un criptograma SecureVault como TMSH lo hace. Un ejemplo de campos protegidos es la contraseña del monitor GTM • https://support.f5.com/csp/article/K20059815 • CWE-327: Use of a Broken or Risky Cryptographic Algorithm •
CVE-2020-5945
https://notcve.org/view.php?id=CVE-2020-5945
In BIG-IP versions 16.0.0-16.0.0.1, 15.1.0-15.1.0.5, and 14.1.0-14.1.2.7, undisclosed TMUI page contains a stored cross site scripting vulnerability (XSS). The issue allows a minor privilege escalation for resource admin to escalate to full admin. En BIG-IP versiones 16.0.0-16.0.0.1, 15.1.0-15.1.0.5 y 14.1.0-14.1.2.7, la página TMUI no revelada contiene una vulnerabilidad de tipo cross site scripting almacenado. El problema permite una escalada de privilegios menor para un administrador de recursos escalar a administrador total • https://support.f5.com/csp/article/K21540525 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-5940
https://notcve.org/view.php?id=CVE-2020-5940
In versions 16.0.0-16.0.0.1, 15.1.0-15.1.0.5, and 14.1.0-14.1.2.3, a stored cross-site scripting (XSS) vulnerability exists in an undisclosed page of the BIG-IP Traffic Management User Interface (TMUI), also known as the BIG-IP Configuration utility. En las versiones 16.0.0-16.0.0.1, 15.1.0-15.1.0.5 y 14.1.0-14.1.2.3, se presenta una vulnerabilidad de tipo cross-site scripting (XSS) almacenado en una página no revelada de BIG-IP Traffic Management User Interface (TMUI), también se conoce como la utilidad BIG-IP Configuration • https://support.f5.com/csp/article/K43310520 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •