CVE-2021-22978
https://notcve.org/view.php?id=CVE-2021-22978
On BIG-IP version 16.0.x before 16.0.1, 15.1.x before 15.1.1, 14.1.x before 14.1.3.1, 13.1.x before 13.1.3.5, and all 12.1.x and 11.6.x versions, undisclosed endpoints in iControl REST allow for a reflected XSS attack, which could lead to a complete compromise of BIG-IP if the victim user is granted the admin role. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En BIG-IP versiones 16.0.x anteriores a 16.0.1, versiones 15.1.x anteriores a 15.1.1, versiones 14.1.x anteriores a 14.1.3.1, versiones 13.1.x anteriores a 13.1.3.5 y todas las versiones 12.1.xy 11.6.x, endpoints no divulgados en iControl REST permiten un ataque de tipo XSS reflejado, lo que podría conllevar a un compromiso completo de BIG-IP si el usuario víctima se otorgaba el rol de administrador. Nota: No son evaluadas las versiones de software que han alcanzado End of Software Development (EoSD) • https://support.f5.com/csp/article/K87502622 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-22981
https://notcve.org/view.php?id=CVE-2021-22981
On all versions of BIG-IP 12.1.x and 11.6.x, the original TLS protocol includes a weakness in the master secret negotiation that is mitigated by the Extended Master Secret (EMS) extension defined in RFC 7627. TLS connections that do not use EMS are vulnerable to man-in-the-middle attacks during renegotiation. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En todas las versiones de BIG-IP 12.1.x y 11.6.x, el protocolo TLS original incluye una debilidad en la negociación del secreto maestro que es mitigada por la extensión Extended Master Secret (EMS) definida en RFC 7627. Las conexiones TLS que no utilizan EMS son vulnerables a ataques man-in-the-middle durante la renegociación. • https://support.f5.com/csp/article/K09121542 •
CVE-2021-22982
https://notcve.org/view.php?id=CVE-2021-22982
On BIG-IP DNS and GTM version 13.1.x before 13.1.0.4, and all versions of 12.1.x and 11.6.x, big3d does not securely handle and parse certain payloads resulting in a buffer overflow. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En BIG-IP DNS y GTM versiones 13.1.x anteriores a 13.1.0.4, y en todas las versiones de 12.1.x y 11.6.x, big3d no maneja ni analiza de forma segura determinadas cargas útiles, resultando en un desbordamiento del búfer. Nota: No son evaluadas las versiones de software que han alcanzado End of Software Development (EoSD) • https://support.f5.com/csp/article/K72708443 • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') •
CVE-2020-27725
https://notcve.org/view.php?id=CVE-2020-27725
In version 15.1.0-15.1.0.5, 14.1.0-14.1.3, 13.1.0-13.1.3.4, 12.1.0-12.1.5.2, and 11.6.1-11.6.5.2 of BIG-IP DNS, GTM, and Link Controller, zxfrd leaks memory when listing DNS zones. Zones can be listed via TMSH, iControl or SNMP; only users with access to those services can trigger this vulnerability. En las versiones 15.1.0-15.1.0.5, 14.1.0-14.1.3, 13.1.0-13.1.3.4, 12.1.0-12.1.5.2 y 11.6.1-11.6.5.2 de BIG-IP DNS, GTM, y Link Controller, zxfrd filtra memoria al listar las zonas DNS. Las zonas pueden ser listadas por medio TMSH, iControl o SNMP; solo los usuarios con acceso a esos servicios pueden activar esta vulnerabilidad • https://support.f5.com/csp/article/K25595031 • CWE-401: Missing Release of Memory after Effective Lifetime •
CVE-2020-27721
https://notcve.org/view.php?id=CVE-2020-27721
In versions 16.0.0-16.0.0.1, 15.1.0-15.1.1, 14.1.0-14.1.3, 13.1.0-13.1.3.5, 12.1.0-12.1.5.2, and 11.6.1-11.6.5.2, in a BIG-IP DNS / BIG-IP LTM GSLB deployment, under certain circumstances, the BIG-IP DNS system may stop using a BIG-IP LTM virtual server for DNS response. En las versiones 16.0.0-16.0.0.1, 15.1.0-15.1.1, 14.1.0-14.1.3, 13.1.0-13.1.3.5, 12.1.0-12.1.5.2 y 11.6.1-11.6.5.2 , en una implementación de BIG-IP DNS / BIG-IP LTM GSLB, bajo determinadas circunstancias, el sistema BIG-IP DNS puede dejar de usar un servidor virtual BIG-IP LTM para la respuesta de DNS • https://support.f5.com/csp/article/K52035247 •