CVE-2022-29491
https://notcve.org/view.php?id=CVE-2022-29491
On F5 BIG-IP LTM, Advanced WAF, ASM, or APM 16.1.x versions prior to 16.1.2.2, 15.1.x versions prior to 15.1.5, 14.1.x versions prior to 14.1.4.6, and all versions of 13.1.x, 12.1.x, and 11.6.x, when a virtual server is configured with HTTP, TCP on one side (client/server), and DTLS on the other (server/client), undisclosed requests can cause the TMM process to terminate. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated En F5 BIG-IP LTM, Advanced WAF, ASM o APM versiones 16.1.x anteriores a 16.1.2.2, las versiones 15.1.x anteriores a 15.1.5, las versiones 14.1.x anteriores a 14.1.4.6 y todas las versiones de 13.1.x, 12.1.x y 11. 6.x, cuando un servidor virtual está configurado con HTTP, TCP en un lado (cliente/servidor), y DTLS en el otro (servidor/cliente), las peticiones no reveladas pueden causar la terminación del proceso TMM. Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no son evaluadas • https://support.f5.com/csp/article/K14229426 • CWE-476: NULL Pointer Dereference •
CVE-2022-27806
https://notcve.org/view.php?id=CVE-2022-27806
On all versions of 16.1.x, 15.1.x, 14.1.x, 13.1.x, 12.1.x, and 11.6.x of F5 BIG-IP Advanced WAF, ASM, and ASM, and F5 BIG-IP Guided Configuration (GC) all versions prior to 9.0, when running in Appliance mode, an authenticated attacker assigned the Administrator role may be able to bypass Appliance mode restrictions, utilizing command injection vulnerabilities in undisclosed URIs in F5 BIG-IP Guided Configuration. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated En todas las versiones de 16.1.x, 15.1.x, 14.1.x, 13.1.x, 12.1.x y 11.6.x de F5 BIG-IP Advanced WAF, ASM y ASM, y F5 BIG-IP Guided Configuration (GC) todas las versiones anteriores a 9.0, cuando es ejecutado en modo Appliance, un atacante autenticado al que le haya sido asignado el rol de Administrador puede ser capaz de omitir las restricciones del modo Appliance, usando vulnerabilidades de inyección de comandos en URIs no reveladas en F5 BIG-IP Guided Configuration. Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no son evaluadas • https://support.f5.com/csp/article/K68647001 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVE-2022-25946
https://notcve.org/view.php?id=CVE-2022-25946
On all versions of 16.1.x, 15.1.x, 14.1.x, 13.1.x, 12.1.x, and 11.6.x of F5 BIG-IP Advanced WAF, ASM, and ASM, and F5 BIG-IP Guided Configuration (GC) all versions prior to 9.0, when running in Appliance mode, an authenticated attacker with Administrator role privilege may be able to bypass Appliance mode restrictions due to a missing integrity check in F5 BIG-IP Guided Configuration. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated En todas las versiones de 16.1.x, 15.1.x, 14.1.x, 13.1.x, 12.1.x y 11.6.x de F5 BIG-IP Advanced WAF, ASM y ASM, y F5 BIG-IP Guided Configuration (GC) todas las versiones anteriores a 9.0, cuando es ejecutado en modo Appliance, un atacante autenticado con privilegios de rol de administrador puede ser capaz de omitir las restricciones del modo Appliance debido a una falta de comprobación de integridad en F5 BIG-IP Guided Configuration. Nota: Las versiones de software que han alcanzado el Fin del Soporte Técnico (EoTS) no son evaluadas • https://support.f5.com/csp/article/K52322100 • CWE-354: Improper Validation of Integrity Check Value •
CVE-2022-26890
https://notcve.org/view.php?id=CVE-2022-26890
On F5 BIG-IP Advanced WAF, ASM, and APM 16.1.x versions prior to 16.1.2.1, 15.1.x versions prior to 15.1.5, 14.1.x versions prior to 14.1.4.6, and 13.1.x versions prior to 13.1.5, when ASM or Advanced WAF, as well as APM, are configured on a virtual server, the ASM policy is configured with Session Awareness, and the "Use APM Username and Session ID" option is enabled, undisclosed requests can cause the bd process to terminate. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated En F5 BIG-IP Advanced WAF, ASM y APM versiones 16.1.x anteriores a 16.1.2.1, 15.1.x anteriores a 15.1.5, 14.1.x anteriores a 14.1.4.6 y 13.1.x anteriores a 13.1. 5, cuando ASM o Advanced WAF, así como APM, están configurados en un servidor virtual, la política de ASM está configurada con Session Awareness, y la opción "Use APM Username and Session ID" está habilitada, las peticiones no reveladas pueden causar la finalización del proceso bd. Nota: Las versiones de software que han alcanzado el Fin del Soporte Técnico (EoTS) no son evaluadas • https://support.f5.com/csp/article/K03442392 • CWE-670: Always-Incorrect Control Flow Implementation •
CVE-2022-23029
https://notcve.org/view.php?id=CVE-2022-23029
On BIG-IP version 16.x before 16.1.0, 15.1.x before 15.1.4.1, 14.1.x before 14.1.4.4, and all versions of 13.1.x, 12.1.x, and 11.6.x, when a FastL4 profile is configured on a virtual server, undisclosed traffic can cause an increase in memory resource utilization. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated. En BIG-IP versiones 16.x anteriores a 16.1.0, 15.1.x anteriores a 15.1.4.1, 14.1.x anteriores a 14.1.4.4 y todas las versiones de 13.1.x, 12.1.x y 11.6.x, cuando es configurado un perfil FastL4 en un servidor virtual, el tráfico no revelado puede causar un aumento en el uso de recursos de memoria. Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no son evaluadas • https://support.f5.com/csp/article/K50343028 • CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition •