Page 5 of 82 results (0.003 seconds)

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

On all 7.x and 6.x versions (fixed in 8.0.0), BIG-IQ HA ElasticSearch service does not implement any form of authentication for the clustering transport services, and all data used by ElasticSearch for transport is unencrypted. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En todas las versiones 7.x y 6.x (corregidas en 8.0.0), el servicio BIG-IQ HA ElasticSearch no implementa ninguna forma de autenticación para los servicios de transporte de clustering, y todos los datos utilizados por ElasticSearch para el transporte están sin cifrar. Nota: No se evalúan las versiones de software que han alcanzado End of Software Development (EoSD). • https://support.f5.com/csp/article/K34074377 • CWE-306: Missing Authentication for Critical Function •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

On all 7.x versions (fixed in 8.0.0), when set up for auto failover, a BIG-IQ Data Collection Device (DCD) cluster member that receives an undisclosed message may cause the corosync process to abort. This behavior may lead to a denial-of-service (DoS) and impact the stability of a BIG-IQ high availability (HA) cluster. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En todas las versiones 7.x (corregidas en 8.0.0), cuando se configura para la conmutación automática por error, un miembro del clúster BIG-IQ Data Collection Device (DCD) que recibe un mensaje no revelado puede hacer que el proceso de corosync se anule. Este comportamiento puede conducir a una denegación de servicio (DoS) y afectar la estabilidad de un clúster de alta disponibilidad (HA) de BIG-IQ. • https://support.f5.com/csp/article/K16352404 •

CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0

On all 7.x and 6.x versions (fixed in 8.0.0), BIG-IQ high availability (HA) when using a Quorum device for automatic failover does not implement any form of authentication with the Corosync daemon. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En todas las versiones 7.x y 6.x (corregidas en versión 8.0.0), la alta disponibilidad (HA) de BIG-IQ cuando se usa un dispositivo Quorum para la conmutación automática por error no implementa ninguna forma de autenticación con el demonio Corosync. Nota: No se evalúan las versiones de software que han alcanzado End of Software Development (EoSD). • https://support.f5.com/csp/article/K13155201 • CWE-306: Missing Authentication for Critical Function •

CVSS: 10.0EPSS: 97%CPEs: 73EXPL: 13

On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3.6, and 12.1.x before 12.1.5.3 amd BIG-IQ 7.1.0.x before 7.1.0.3 and 7.0.0.x before 7.0.0.2, the iControl REST interface has an unauthenticated remote command execution vulnerability. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En BIG-IP versiones 16.0.x anteriores a 16.0.1.1, versiones 15.1.x anteriores a 15.1.2.1, versiones 14.1.x anteriores a 14.1.4, versiones 13.1.x anteriores a 13.1.3.6 y versiones 12.1.x anteriores a 12.1.5.3 y BIG-IQ versiones 7.1 .0.x anteriores a 7.1.0.3 y versiones 7.0.0.x anteriores a 7.0.0.2, la interfaz REST de iControl presenta una vulnerabilidad de ejecución de comandos remota no autenticada. Nota: No son evaluadas las versiones de software que han alcanzado End of Software Development (EoSD). F5 BIG-IP version 16.0.x suffers from an iControl REST remote code execution vulnerability. • https://www.exploit-db.com/exploits/49738 https://github.com/Al1ex/CVE-2021-22986 https://github.com/dorkerdevil/CVE-2021-22986-Poc https://github.com/Tas9er/CVE-2021-22986 https://github.com/microvorld/CVE-2021-22986 https://github.com/amitlttwo/CVE-2021-22986 https://github.com/huydung26/CVE-2021-22986 https://github.com/DDestinys/CVE-2021-22986 https://github.com/dotslashed/CVE-2021-22986 https://github.com/kiri-48/CVE-2021-22986 https://github.com/Osyanina/ • CWE-918: Server-Side Request Forgery (SSRF) •

CVSS: 7.5EPSS: 0%CPEs: 58EXPL: 0

On BIG-IP version 16.0.x before 16.0.1.1, 15.1.x before 15.1.2, 14.1.x before 14.1.3.1, and 13.1.x before 13.1.3.6 and all versions of BIG-IQ 7.x and 6.x, an authenticated attacker with access to iControl REST over the control plane may be able to take advantage of a race condition to execute commands with an elevated privilege level. This vulnerability is due to an incomplete fix for CVE-2017-6167. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En BIG-IP versiones 16.0.x anteriores a 16.0.1.1, versiones 15.1.x anteriores a 15.1.2, versiones 14.1.x anteriores a 14.1.3.1 y versiones 13.1.x anteriores a 13.1.3.6 y todas las versiones de BIG-IQ 7.x y 6. x, un atacante autenticado con acceso a iControl REST a través del plano de control puede ser capaz de tomar ventaja de una condición de carrera para ejecutar comandos con un nivel de privilegio elevado. Esta vulnerabilidad es debido a una corrección incompleta para CVE-2017-6167. • https://support.f5.com/csp/article/K68652018 • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •