CVSS: 5.9EPSS: 0%CPEs: 24EXPL: 0CVE-2017-6141
https://notcve.org/view.php?id=CVE-2017-6141
In F5 BIG-IP LTM, AAM, AFM, APM, ASM, Link Controller, PEM, and WebSafe 12.1.0 through 12.1.2, certain values in a TLS abbreviated handshake when using a client SSL profile with the Session Ticket option enabled may cause disruption of service to the Traffic Management Microkernel (TMM). The Session Ticket option is disabled by default. En F5 BIG-IP LTM, AAM, AFM, APM, ASM, Link Controller, PEM y WebSafe 12.1.0 hasta la 12.1.2, ciertos valores en una negociación abreviada TLS al emplear un perfil de cliente SSL con la opción Session Ticket habilitada pueden causar la interrupción del servicio al Traffic Management Microkernel (TMM). Por defecto, la opción Session Ticket está deshabilitada. • https://support.f5.com/csp/article/K21154730 • CWE-20: Improper Input Validation •
CVSS: 5.4EPSS: 0%CPEs: 136EXPL: 0CVE-2016-7469
https://notcve.org/view.php?id=CVE-2016-7469
A stored cross-site scripting (XSS) vulnerability in the Configuration utility device name change page in BIG-IP LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, GTM, Link Controller, PEM, PSM, WebAccelerator, WOM and WebSafe version 12.0.0 - 12.1.2, 11.4.0 - 11.6.1, and 11.2.1 allows an authenticated user to inject arbitrary web script or HTML. Exploitation requires Resource Administrator or Administrator privileges, and it could cause the Configuration utility client to become unstable. Una vulnerabilidad de tipo cross-site scripting (XSS) almacenada en la página de cambio de nombre del dispositivo de la utilidad Configuration en BIG-IP LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, GTM, Link Controller, PEM, PSM, WebAccelerator, WOM y WebSafe versión 12.0.0 hasta 12.1.2, versión 11.4.0 hasta 11.6.1, y versión 11.2.1, permite a un usuario autenticado inyectar un script web o HTML arbitrario. La explotación requiere administrador de recursos o permisos de administrador, y podría causar que el cliente de la utilidad Configuration se vuelva inestable. • http://www.securityfocus.com/bid/95320 http://www.securitytracker.com/id/1037559 http://www.securitytracker.com/id/1037560 https://support.f5.com/csp/article/K97285349 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 45EXPL: 0CVE-2017-6131
https://notcve.org/view.php?id=CVE-2017-6131
In some circumstances, an F5 BIG-IP version 12.0.0 to 12.1.2 and 13.0.0 Azure cloud instance may contain a default administrative password which could be used to remotely log into the BIG-IP system. The impacted administrative account is the Azure instance administrative user that was created at deployment. The root and admin accounts are not vulnerable. An attacker may be able to remotely access the BIG-IP host via SSH. En algunas circunstancias, una instancia de nube de Azure de F5 BIG-IP versiones 12.0.0 hasta 12.1.2 y versión 13.0.0, puede contener una contraseña administrativa por defecto que podría usarse para iniciar sesión de manera remota en el sistema BIG-IP. • http://www.securitytracker.com/id/1038569 https://support.f5.com/csp/article/K61757346 • CWE-798: Use of Hard-coded Credentials •
CVSS: 7.5EPSS: 0%CPEs: 134EXPL: 0CVE-2016-9250
https://notcve.org/view.php?id=CVE-2016-9250
In F5 BIG-IP 11.2.1, 11.4.0 through 11.6.1, and 12.0.0 through 12.1.2, an unauthenticated user with access to the control plane may be able to delete arbitrary files through an undisclosed mechanism. En F5 BIG-IP 11.2.1, 11.4.0 a 11.6.1 y 12.0.0 a 12.1.2, un usuario no autenticado con acceso al panel de control puede ser capaz de borrar archivos arbitrarios a través de un mecanismo no revelado. • https://support.f5.com/csp/article/K55792317 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2016-9257
https://notcve.org/view.php?id=CVE-2016-9257
In F5 BIG-IP APM 12.0.0 through 12.1.2, non-authenticated users may be able to inject JavaScript into a request that will then be rendered and executed in the context of the Administrative user when the Administrative user is viewing the Access System Logs, allowing the non-authenticated user to carry out a Cross Site Scripting (XSS) attack against the Administrative user. En F5 BIG-IP APM versiones 12.0.0 hasta la 12.1.2, usuarios no autenticados podrían inyectar código JavaScript en una petición que podría ser renderizada y ejecutada en el contexto del usuario Administrativo cuando dicho usuario está visualizando los logs de acceso al sistema, permitiendo al usuario no autenticado llevar a cabo un ataque de tipo Cross Site Scripting (XSS) contra el usuario Administrativo. • http://www.securitytracker.com/id/1038416 https://support.f5.com/csp/article/K43523962 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •