CVSS: 9.1EPSS: 0%CPEs: 44EXPL: 0CVE-2022-35243 – Authenticated iControl REST in Appliance mode vulnerability CVE-2022-35243
https://notcve.org/view.php?id=CVE-2022-35243
In BIG-IP Versions 16.1.x before 16.1.3, 15.1.x before 15.1.5.1, 14.1.x before 14.1.5, and all versions of 13.1.x, when running in Appliance mode, an authenticated user assigned the Administrator role may be able to bypass Appliance mode restrictions, using an undisclosed iControl REST endpoint. A successful exploit can allow the attacker to cross a security boundary. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated. En BIG-IP versiones 16.1.x anteriores a 16.1.3, 15.1.x anteriores a 15.1.5.1, 14.1.x anteriores a 14.1.5 y todas las versiones de 13.1.x, cuando es ejecutado en modo Appliance, un usuario autenticado al que se le haya asignado el rol de Administrador puede ser capaz de omitir las restricciones del modo Appliance, usando un endpoint REST de iControl no revelado. Una explotación con éxito puede permitir al atacante cruzar un límite de seguridad. • https://support.f5.com/csp/article/K11010341 • CWE-269: Improper Privilege Management •
CVSS: 9.1EPSS: 0%CPEs: 33EXPL: 0CVE-2022-34865 – Traffic intelligence feeds vulnerability CVE-2022-34865
https://notcve.org/view.php?id=CVE-2022-34865
In BIG-IP Versions 15.1.x before 15.1.6.1, 14.1.x before 14.1.5, and all versions of 13.1.x, Traffic Intelligence feeds, which use HTTPS, do not verify the remote endpoint identity, allowing for potential data poisoning. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated. En BIG-IP versiones 15.1.x anteriores a 15.1.6.1, 14.1.x anteriores a 14.1.5, y todas las versiones de 13.1.x, las alimentaciones de Inteligencia de Tráfico, que usan HTTPS, no verifican la identidad del punto final remoto, lo que permite un potencial envenenamiento de datos. Nota: Las versiones de software que han alcanzado el fin del soporte técnico (EoTS) no son evaluadas • https://support.f5.com/csp/article/K25046752 • CWE-295: Improper Certificate Validation •
CVSS: 7.5EPSS: 0%CPEs: 44EXPL: 1CVE-2022-34862 – TMM vulnerability CVE-2022-34862
https://notcve.org/view.php?id=CVE-2022-34862
In BIG-IP Versions 16.1.x before 16.1.3.1, 15.1.x before 15.1.6.1, 14.1.x before 14.1.5, and all versions of 13.1.x, when an LTM virtual server is configured to perform normalization, undisclosed requests can cause the Traffic Management Microkernel (TMM) to terminate. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated. En BIG-IP versiones 16.1.x anteriores a 16.1.3.1, 15.1.x anteriores a 15.1.6.1, 14.1.x anteriores a 14.1.5, y todas las versiones de 13.1.x, cuando un servidor virtual LTM está configurado para llevar a cabo la normalización, las peticiones no reveladas pueden causar la terminación del Traffic Management Microkernel (TMM). Nota: Las versiones de software que han alcanzado el fin del soporte técnico (EoTS) no son evaluadas • https://support.f5.com/csp/article/K66510514 • CWE-835: Loop with Unreachable Exit Condition ('Infinite Loop') •
CVSS: 6.5EPSS: 0%CPEs: 56EXPL: 0CVE-2022-34851 – BIG-IP and BIG-IQ iControl SOAP vulnerability CVE-2022-34851
https://notcve.org/view.php?id=CVE-2022-34851
In BIG-IP Versions 17.0.x before 17.0.0.1, 16.1.x before 16.1.3.1, 15.1.x before 15.1.6.1, 14.1.x before 14.1.5.1, and all versions of 13.1.x, and BIG-IQ Centralized Management all versions of 8.x, an authenticated attacker may cause iControl SOAP to become unavailable through undisclosed requests. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated. En BIG-IP versiones 17.0.x anteriores a 17.0.0.1, 16.1.x anteriores a 16.1.3.1, 15.1.x anteriores a 15.1.6.1, 14.1.x anteriores a 14.1.5.1, y todas las versiones de 13.1.x, y BIG-IQ Centralized Management todas las versiones de 8.x, un atacante autenticado puede causar que iControl SOAP no esté disponible mediante peticiones no reveladas. Nota: Las versiones de software que han alcanzado el fin del soporte técnico (EoTS) no son evaluadas • https://support.f5.com/csp/article/K50310001 • CWE-20: Improper Input Validation •
CVSS: 4.9EPSS: 0%CPEs: 55EXPL: 0CVE-2022-33968 – BIG-IP LTM and APM NTLM vulnerability CVE-2022-33968
https://notcve.org/view.php?id=CVE-2022-33968
In BIG-IP Versions 17.0.x before 17.0.0.1, 16.1.x before 16.1.3.1, 15.1.x before 15.1.6.1, 14.1.x before 14.1.5.1, and all versions of 13.1.x, when an LTM monitor or APM SSO is configured on a virtual server, and NTLM challenge-response is in use, undisclosed traffic can cause a buffer over-read. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated. En BIG-IP versiones 17.0.x anteriores a 17.0.0.1, 16.1.x anteriores a 16.1.3.1, 15.1.x anteriores a 15.1.6.1, 14.1.x anteriores a 14.1.5.1 y todas las versiones de 13.1.x, cuando es configurado un monitor LTM o APM SSO en un servidor virtual y es usado NTLM challenge-response, el tráfico no revelado puede causar una lectura excesiva del búfer. Nota: Las versiones de software que han alcanzado el Fin del Soporte Técnico (EoTS) no son evaluadas no son evaluadas • https://support.f5.com/csp/article/K23465404 • CWE-125: Out-of-bounds Read •