CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-23006
https://notcve.org/view.php?id=CVE-2021-23006
On all 7.x and 6.x versions (fixed in 8.0.0), undisclosed BIG-IQ pages have a reflected cross-site scripting vulnerability. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En todas las versiones 7.x y 6.x (corregidas en la versión 8.0.0), las páginas de BIG-IQ no reveladas presentan una vulnerabilidad de tipo cross-site scripting reflejado. Nota: No se evalúan las versiones de software que han alcanzado End of Software Development (EoSD). • https://support.f5.com/csp/article/K30585021 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-23005
https://notcve.org/view.php?id=CVE-2021-23005
On all 7.x and 6.x versions (fixed in 8.0.0), when using a Quorum device for BIG-IQ high availability (HA) for automatic failover, BIG-IQ does not make use of Transport Layer Security (TLS) with the Corosync protocol. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En todas las versiones 7.x y 6.x (corregidas en la versión 8.0.0), cuando se utiliza un dispositivo Quorum para alta disponibilidad (HA) de BIG-IQ para la conmutación automática por error, BIG-IQ no utiliza Transport Layer Security (TLS) con el protocolo Corosync. Nota: No se evalúan las versiones de software que han alcanzado End of Software Development (EoSD). • https://support.f5.com/csp/article/K01243064 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-22997
https://notcve.org/view.php?id=CVE-2021-22997
On all 7.x and 6.x versions (fixed in 8.0.0), BIG-IQ HA ElasticSearch service does not implement any form of authentication for the clustering transport services, and all data used by ElasticSearch for transport is unencrypted. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En todas las versiones 7.x y 6.x (corregidas en 8.0.0), el servicio BIG-IQ HA ElasticSearch no implementa ninguna forma de autenticación para los servicios de transporte de clustering, y todos los datos utilizados por ElasticSearch para el transporte están sin cifrar. Nota: No se evalúan las versiones de software que han alcanzado End of Software Development (EoSD). • https://support.f5.com/csp/article/K34074377 • CWE-306: Missing Authentication for Critical Function •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-22996
https://notcve.org/view.php?id=CVE-2021-22996
On all 7.x versions (fixed in 8.0.0), when set up for auto failover, a BIG-IQ Data Collection Device (DCD) cluster member that receives an undisclosed message may cause the corosync process to abort. This behavior may lead to a denial-of-service (DoS) and impact the stability of a BIG-IQ high availability (HA) cluster. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En todas las versiones 7.x (corregidas en 8.0.0), cuando se configura para la conmutación automática por error, un miembro del clúster BIG-IQ Data Collection Device (DCD) que recibe un mensaje no revelado puede hacer que el proceso de corosync se anule. Este comportamiento puede conducir a una denegación de servicio (DoS) y afectar la estabilidad de un clúster de alta disponibilidad (HA) de BIG-IQ. • https://support.f5.com/csp/article/K16352404 •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2021-22995
https://notcve.org/view.php?id=CVE-2021-22995
On all 7.x and 6.x versions (fixed in 8.0.0), BIG-IQ high availability (HA) when using a Quorum device for automatic failover does not implement any form of authentication with the Corosync daemon. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En todas las versiones 7.x y 6.x (corregidas en versión 8.0.0), la alta disponibilidad (HA) de BIG-IQ cuando se usa un dispositivo Quorum para la conmutación automática por error no implementa ninguna forma de autenticación con el demonio Corosync. Nota: No se evalúan las versiones de software que han alcanzado End of Software Development (EoSD). • https://support.f5.com/csp/article/K13155201 • CWE-306: Missing Authentication for Critical Function •