CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-22996
https://notcve.org/view.php?id=CVE-2021-22996
On all 7.x versions (fixed in 8.0.0), when set up for auto failover, a BIG-IQ Data Collection Device (DCD) cluster member that receives an undisclosed message may cause the corosync process to abort. This behavior may lead to a denial-of-service (DoS) and impact the stability of a BIG-IQ high availability (HA) cluster. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En todas las versiones 7.x (corregidas en 8.0.0), cuando se configura para la conmutación automática por error, un miembro del clúster BIG-IQ Data Collection Device (DCD) que recibe un mensaje no revelado puede hacer que el proceso de corosync se anule. Este comportamiento puede conducir a una denegación de servicio (DoS) y afectar la estabilidad de un clúster de alta disponibilidad (HA) de BIG-IQ. • https://support.f5.com/csp/article/K16352404 •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2021-22995
https://notcve.org/view.php?id=CVE-2021-22995
On all 7.x and 6.x versions (fixed in 8.0.0), BIG-IQ high availability (HA) when using a Quorum device for automatic failover does not implement any form of authentication with the Corosync daemon. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En todas las versiones 7.x y 6.x (corregidas en versión 8.0.0), la alta disponibilidad (HA) de BIG-IQ cuando se usa un dispositivo Quorum para la conmutación automática por error no implementa ninguna forma de autenticación con el demonio Corosync. Nota: No se evalúan las versiones de software que han alcanzado End of Software Development (EoSD). • https://support.f5.com/csp/article/K13155201 • CWE-306: Missing Authentication for Critical Function •
CVSS: 10.0EPSS: 97%CPEs: 73EXPL: 14CVE-2021-22986 – F5 BIG-IP and BIG-IQ Centralized Management iControl REST Remote Code Execution Vulnerability
https://notcve.org/view.php?id=CVE-2021-22986
On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3.6, and 12.1.x before 12.1.5.3 amd BIG-IQ 7.1.0.x before 7.1.0.3 and 7.0.0.x before 7.0.0.2, the iControl REST interface has an unauthenticated remote command execution vulnerability. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En BIG-IP versiones 16.0.x anteriores a 16.0.1.1, versiones 15.1.x anteriores a 15.1.2.1, versiones 14.1.x anteriores a 14.1.4, versiones 13.1.x anteriores a 13.1.3.6 y versiones 12.1.x anteriores a 12.1.5.3 y BIG-IQ versiones 7.1 .0.x anteriores a 7.1.0.3 y versiones 7.0.0.x anteriores a 7.0.0.2, la interfaz REST de iControl presenta una vulnerabilidad de ejecución de comandos remota no autenticada. Nota: No son evaluadas las versiones de software que han alcanzado End of Software Development (EoSD). F5 BIG-IP version 16.0.x suffers from an iControl REST remote code execution vulnerability. • https://www.exploit-db.com/exploits/49738 https://github.com/Al1ex/CVE-2021-22986 https://github.com/dorkerdevil/CVE-2021-22986-Poc https://github.com/Tas9er/CVE-2021-22986 https://github.com/microvorld/CVE-2021-22986 https://github.com/amitlttwo/CVE-2021-22986 https://github.com/huydung26/CVE-2021-22986 https://github.com/DDestinys/CVE-2021-22986 https://github.com/dotslashed/CVE-2021-22986 https://github.com/kiri-48/CVE-2021-22986 https://github.com/Osyanina/ • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 7.5EPSS: 0%CPEs: 58EXPL: 0CVE-2021-22974
https://notcve.org/view.php?id=CVE-2021-22974
On BIG-IP version 16.0.x before 16.0.1.1, 15.1.x before 15.1.2, 14.1.x before 14.1.3.1, and 13.1.x before 13.1.3.6 and all versions of BIG-IQ 7.x and 6.x, an authenticated attacker with access to iControl REST over the control plane may be able to take advantage of a race condition to execute commands with an elevated privilege level. This vulnerability is due to an incomplete fix for CVE-2017-6167. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En BIG-IP versiones 16.0.x anteriores a 16.0.1.1, versiones 15.1.x anteriores a 15.1.2, versiones 14.1.x anteriores a 14.1.3.1 y versiones 13.1.x anteriores a 13.1.3.6 y todas las versiones de BIG-IQ 7.x y 6. x, un atacante autenticado con acceso a iControl REST a través del plano de control puede ser capaz de tomar ventaja de una condición de carrera para ejecutar comandos con un nivel de privilegio elevado. Esta vulnerabilidad es debido a una corrección incompleta para CVE-2017-6167. • https://support.f5.com/csp/article/K68652018 • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-5944
https://notcve.org/view.php?id=CVE-2020-5944
In BIG-IQ 7.1.0, accessing the DoS Summary events and DNS Overview pages in the BIG-IQ system interface returns an error message due to disabled Grafana reverse proxy in web service configuration. F5 has done further review of this vulnerability and has re-classified it as a defect. CVE-2020-5944 will continue to be referenced in F5 Security Advisory K57274211 and will not be assigned to other F5 vulnerabilities. En BIG-IQ versión 7.1.0, el acceso a los eventos de DoS Summary y las páginas de DNS Overview en la interfaz del sistema BIG-IQ devuelve un mensaje de error debido a que el proxy inverso de Grafana está desactivado en la configuración del servicio web. F5 ha hecho un examen más detallado de esta vulnerabilidad y la ha reclasificado como un defecto. • https://support.f5.com/csp/article/K57274211 •