CVE-2021-22978
https://notcve.org/view.php?id=CVE-2021-22978
On BIG-IP version 16.0.x before 16.0.1, 15.1.x before 15.1.1, 14.1.x before 14.1.3.1, 13.1.x before 13.1.3.5, and all 12.1.x and 11.6.x versions, undisclosed endpoints in iControl REST allow for a reflected XSS attack, which could lead to a complete compromise of BIG-IP if the victim user is granted the admin role. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En BIG-IP versiones 16.0.x anteriores a 16.0.1, versiones 15.1.x anteriores a 15.1.1, versiones 14.1.x anteriores a 14.1.3.1, versiones 13.1.x anteriores a 13.1.3.5 y todas las versiones 12.1.xy 11.6.x, endpoints no divulgados en iControl REST permiten un ataque de tipo XSS reflejado, lo que podría conllevar a un compromiso completo de BIG-IP si el usuario víctima se otorgaba el rol de administrador. Nota: No son evaluadas las versiones de software que han alcanzado End of Software Development (EoSD) • https://support.f5.com/csp/article/K87502622 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-22979
https://notcve.org/view.php?id=CVE-2021-22979
On BIG-IP version 16.0.x before 16.0.1, 15.1.x before 15.1.1, 14.1.x before 14.1.2.8, 13.1.x before 13.1.3.5, and all 12.1.x versions, a reflected Cross-Site Scripting (XSS) vulnerability exists in an undisclosed page of the BIG-IP Configuration utility when Fraud Protection Service is provisioned and allows an attacker to execute JavaScript in the context of the current logged-in user. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En BIG-IP versiones 16.0.x anteriores a 16.0.1, versiones 15.1.x anteriores a 15.1.1, versiones 14.1.x anteriores a 14.1.2.8, versiones 13.1.x anteriores a 13.1.3.5 y todas las versiones de 12.1.x, una vulnerabilidad de tipo Cross-Site Scripting (XSS) reflejado se presenta en una página no revelada de la utilidad de Configuración de BIG-IP cuando Fraud Protection Service es aprovisionado y permite a un atacante ejecutar JavaScript en el contexto del usuario que ha iniciado sesión actualmente. Nota: No son evaluadas las versiones de software que han alcanzado End of Software Development (EoSD) • https://support.f5.com/csp/article/K63497634 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-5938
https://notcve.org/view.php?id=CVE-2020-5938
On BIG-IP 13.1.0-13.1.3.4, 12.1.0-12.1.5.2, and 11.6.1-11.6.5.2, when negotiating IPSec tunnels with configured, authenticated peers, the peer may negotiate a different key length than the BIG-IP configuration would otherwise allow. En BIG-IP versiones 13.1.0-13.1.3.4, 12.1.0-12.1.5.2 y 11.6.1-11.6.5.2, cuando se negocian túneles IPSec con peers autenticados configurados, el peer puede negociar una longitud de clave diferente a la que permitiría la configuración BIG-IP • https://support.f5.com/csp/article/K76610106 • CWE-326: Inadequate Encryption Strength •
CVE-2020-5929
https://notcve.org/view.php?id=CVE-2020-5929
In versions 13.0.0-13.0.0 HF2, 12.1.0-12.1.2 HF1, and 11.6.1-11.6.2, BIG-IP platforms with Cavium Nitrox SSL hardware acceleration cards, a Virtual Server configured with a Client SSL profile, and using Anonymous (ADH) or Ephemeral (DHE) Diffie-Hellman key exchange and Single DH use option not enabled in the options list may be vulnerable to crafted SSL/TLS Handshakes that may result with a PMS (Pre-Master Secret) that starts in a 0 byte and may lead to a recovery of plaintext messages as BIG-IP TLS/SSL ADH/DHE sends different error messages acting as an oracle. Similar error messages when PMS starts with 0 byte coupled with very precise timing measurement observation may also expose this vulnerability. En las versiones 13.0.0-13.0.0 HF2, 12.1.0-12.1.2 HF1 y 11.6.1-11.6.2, las plataformas BIG-IP con tarjetas de aceleración de hardware Cavium Nitrox SSL, un Servidor Virtual configurado con un perfil SSL de Cliente, y el uso de intercambio de Claves Diffie-Hellman de Anonymous (ADH) o Ephemeral (DHE) y la opción de uso Single DH no habilitada en la lista de opciones puede ser vulnerable a protocolos de enlace SSL/TLS diseñados que pueden resultar con un PMS (Pre-Master Secret) que comienza en un byte 0 y puede conllevar a la recuperación de mensajes de texto plano, ya que BIG-IP TLS/SSL ADH/DHE envía diferentes mensajes de error que actúan como un oráculo. Los mensajes de error similares cuando PMS comienza con 0 bytes junto con una observación de medición de tiempo muy precisa también pueden exponer esta vulnerabilidad • https://support.f5.com/csp/article/K91158923 • CWE-203: Observable Discrepancy •
CVE-2020-5922
https://notcve.org/view.php?id=CVE-2020-5922
In BIG-IP versions 15.0.0-15.1.0.4, 14.1.0-14.1.2.6, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.2, iControl REST does not implement Cross Site Request Forgery protections for users which make use of Basic Authentication in a web browser. En BIG-IP versiones 15.0.0-15.1.0.4, 14.1.0-14.1.2.6, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1 y 11.6.1-11.6.5.2, iControl REST no implementa protecciones de Cross Site Request Forgery para unos usuarios que usan la autenticación básica en un navegador web • https://support.f5.com/csp/article/K20606443 • CWE-352: Cross-Site Request Forgery (CSRF) •