CVE-2014-5209
https://notcve.org/view.php?id=CVE-2014-5209
An Information Disclosure vulnerability exists in NTP 4.2.7p25 private (mode 6/7) messages via a GET_RESTRICT control message, which could let a malicious user obtain sensitive information. Existe una vulnerabilidad de Divulgación de Información en los mensajes privados (modo 6/7) de NTP versión 4.2.7p25 por medio de un mensaje de control GET_RESTRICT, que podría permitir a un usuario malicioso obtener información confidencial. • https://exchange.xforce.ibmcloud.com/vulnerabilities/95841 https://support.f5.com/csp/article/K44942017 https://support.f5.com/csp/article/K44942017?utm_source=f5support&%3Butm_medium=RSS • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2019-19151
https://notcve.org/view.php?id=CVE-2019-19151
On BIG-IP versions 15.0.0-15.1.0, 14.0.0-14.1.2.3, 13.1.0-13.1.3.2, 12.1.0-12.1.5, and 11.5.2-11.6.5.1, BIG-IQ versions 7.0.0, 6.0.0-6.1.0, and 5.0.0-5.4.0, iWorkflow version 2.3.0, and Enterprise Manager version 3.1.1, authenticated users granted TMOS Shell (tmsh) privileges are able access objects on the file system which would normally be disallowed by tmsh restrictions. This allows for authenticated, low privileged attackers to access objects on the file system which would not normally be allowed. En BIG-IP versiones 15.0.0 hasta 15.1.0, 14.0.0 hasta 14.1.2.3, 13.1.0 hasta 13.1.3.2, 12.1.0 hasta 12.1.5 y 11.5.2 hasta 11.6.5.1, versiones BIG-IQ versiones 7.0.0, 6.0.0 hasta 6.1.0 y 5.0.0 hasta 5.4.0, iWorkflow versión 2.3.0 y Enterprise Manager versión 3.1.1, los usuarios autenticados con privilegios de TMOS Shell (tmsh) pueden acceder a objetos en el sistema de archivos que normalmente no estaría habilitado por las restricciones de tmsh. Esto permite que los atacantes poco privilegiados autenticados accedan a objetos en el sistema de archivos que normalmente no estarían permitidos. • https://support.f5.com/csp/article/K21711352 • CWE-269: Improper Privilege Management •
CVE-2019-6688
https://notcve.org/view.php?id=CVE-2019-6688
On BIG-IP versions 15.0.0-15.0.1.1, 14.1.0-14.1.2.2, 14.0.0-14.0.1, 13.1.0-13.1.3.1, 12.1.0-12.1.5, and 11.5.2-11.6.5 and BIG-IQ versions 6.0.0-6.1.0 and 5.2.0-5.4.0, a user is able to obtain the secret that was being used to encrypt a BIG-IP UCS backup file while sending SNMP query to the BIG-IP or BIG-IQ system, however the user can not access to the UCS files. En BIG-IP versiones 15.0.0 hasta 15.0.1.1, 14.1.0 hasta 14.1.2.2, 14.0.0 hasta 14.0.1, 13.1.0 hasta 13.1.3.1, 12.1.0 hasta 12.1.5 y 11.5.2 hasta 11.6.5 y BIG-IQ versiones 6.0.0 hasta 6.1.0 y 5.2.0 hasta 5.4.0, un usuario puede obtener el secreto que se estaba utilizando para cifrar un archivo de copia de seguridad de BIG-IP UCS mientras se envía una consulta SNMP a el sistema BIG-IP o BIG-IQ, sin embargo, el usuario no puede acceder a los archivos de UCS. • https://support.f5.com/csp/article/K25607522 •
CVE-2019-6665
https://notcve.org/view.php?id=CVE-2019-6665
On BIG-IP ASM 15.0.0-15.0.1, 14.1.0-14.1.2, 14.0.0-14.0.1, and 13.1.0-13.1.3.1, BIG-IQ 6.0.0 and 5.2.0-5.4.0, iWorkflow 2.3.0, and Enterprise Manager 3.1.1, an attacker with access to the device communication between the BIG-IP ASM Central Policy Builder and the BIG-IQ/Enterprise Manager/F5 iWorkflow will be able to set up the proxy the same way and intercept the traffic. En BIG-IP ASM versiones 15.0.0 hasta 15.0.1, 14.1.0 hasta 14.1.2, 14.0.0 hasta 14.0.1 y 13.1.0 hasta 13.1.3.1, BIG-IQ versiones 6.0.0 y 5.2.0 hasta 5.4.0, iWorkflow versión 2.3.0 y Enterprise Manager versión 3.1.1, un atacante con acceso a la comunicación del dispositivo entre BIG-IP ASM Central Policy Builder y BIG-IQ/Enterprise Manager/F5 iWorkflow podrá configurar el proxy de la misma manera e interceptar el tráfico. • https://support.f5.com/csp/article/K26462555 •
CVE-2019-6663
https://notcve.org/view.php?id=CVE-2019-6663
The BIG-IP 15.0.0-15.0.1, 14.0.0-14.1.2.2, 13.1.0-13.1.3.1, 12.1.0-12.1.5, and 11.5.1-11.6.5.1, BIG-IQ 7.0.0, 6.0.0-6.1.0, and 5.2.0-5.4.0, iWorkflow 2.3.0, and Enterprise Manager 3.1.1 configuration utility is vulnerable to Anti DNS Pinning (DNS Rebinding) attack. BIG-IP versiones 15.0.0 hasta 15.0.1, 14.0.0 hasta 14.1.2.2, 13.1.0 hasta 13.1.3.1, 12.1.0 hasta 12.1.5 y 11.5.1 hasta 11.6.5.1, BIG-IQ versión 7.0. 0, versiones 6.0.0 hasta 6.1.0 y versiones 5.2.0 hasta 5.4.0, iWorkflow versión 2.3.0 y la utilidad de configuración Enterprise Manager versión 3.1.1 son vulnerables a un ataque Anti DNS Pinning (DNS Rebinding). • https://support.f5.com/csp/article/K76052144 • CWE-20: Improper Input Validation •