CVE-2022-41617 – BIG-IP Advanced WAF and ASM iControl REST vulnerability CVE-2022-41617
https://notcve.org/view.php?id=CVE-2022-41617
In versions 16.1.x before 16.1.3.1, 15.1.x before 15.1.6.1, 14.1.x before 14.1.5.1, and 13.1.x before 13.1.5.1, When the Advanced WAF / ASM module is provisioned, an authenticated remote code execution vulnerability exists in the BIG-IP iControl REST interface. En versiones 16.1.x anteriores a 16.1.3.1, 15.1.x anteriores a 15.1.6.1, 14.1.x anteriores a 14.1.5.1 y 13.1.x anteriores a 13.1.5.1, cuando es aprovisionado el módulo Advanced WAF / ASM, se presenta una vulnerabilidad de ejecución de código remoto autenticado en la interfaz REST de BIG-IP iControl • https://support.f5.com/csp/article/K11830089 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVE-2022-36795 – BIG-IP software SYN cookies vulnerability CVE-2022-36795
https://notcve.org/view.php?id=CVE-2022-36795
In BIG-IP versions 17.0.x before 17.0.0.1, 16.1.x before 16.1.3.1, 15.1.x before 15.1.7, and 14.1.x before 14.1.5.1, when an LTM TCP profile with Auto Receive Window Enabled is configured on a virtual server, undisclosed traffic can cause the virtual server to stop processing new client connections. En BIG-IP versiones 17.0.x anteriores a 17.0.0.1, 16.1.x anteriores a 16.1.3.1, 15.1.x anteriores a 15.1.7 y 14.1.x anteriores a 14.1.5.1, cuando es configurado un perfil LTM TCP con la Ventana de Recepción Automática Habilitada en un servidor virtual, el tráfico no revelado puede causar que el servidor virtual deje de procesar nuevas conexiones de clientes • https://support.f5.com/csp/article/K52494562 • CWE-682: Incorrect Calculation •
CVE-2022-35735 – BIG-IP monitor configuration vulnerability CVE-2022-35735
https://notcve.org/view.php?id=CVE-2022-35735
In BIG-IP Versions 16.1.x before 16.1.3.1, 15.1.x before 15.1.6.1, 14.1.x before 14.1.5.1, and all versions of 13.1.x, an authenticated attacker with Resource Administrator or Manager privileges can create or modify existing monitor objects in the Configuration utility in an undisclosed manner leading to a privilege escalation. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated. En BIG-IP versiones 16.1.x anteriores a 16.1.3.1, 15.1.x anteriores a 15.1.6.1, 14.1.x anteriores a 14.1.5.1 y todas las versiones de 13.1.x, un atacante autenticado con privilegios de administrador de recursos o de gestor puede crear o modificar objetos de monitorización existentes en la utilidad de configuración de forma no revelada, conllevando a una escalada de privilegios. Nota: Las versiones de software que han alcanzado el fin del soporte técnico (EoTS) no son evaluadas • https://support.f5.com/csp/article/K13213418 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVE-2022-35728 – iControl REST vulnerability CVE-2022-35728
https://notcve.org/view.php?id=CVE-2022-35728
In BIG-IP Versions 17.0.x before 17.0.0.1, 16.1.x before 16.1.3.1, 15.1.x before 15.1.6.1, 14.1.x before 14.1.5.1, and all versions of 13.1.x, and BIG-IQ version 8.x before 8.2.0 and all versions of 7.x, an authenticated user's iControl REST token may remain valid for a limited time after logging out from the Configuration utility. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated. En BIG-IP versiones 17.0.x anteriores a 17.0.0.1, 16.1.x anteriores a 16.1.3.1, 15.1.x anteriores a 15.1.6.1, 14.1.x anteriores a 14.1.5.1, y todas las versiones de 13.1.x, y la versión 8.x de BIG-IQ anteriores a 8.2.0 y todas las versiones de 7.x, el token REST de iControl de un usuario autenticado puede seguir siendo válido durante un tiempo limitado después de cerrar la sesión de la utilidad de Configuración. Nota: Las versiones de software que han alcanzado el fin del soporte técnico (EoTS) no son evaluadas • https://support.f5.com/csp/article/K55580033 • CWE-613: Insufficient Session Expiration •
CVE-2022-35243 – Authenticated iControl REST in Appliance mode vulnerability CVE-2022-35243
https://notcve.org/view.php?id=CVE-2022-35243
In BIG-IP Versions 16.1.x before 16.1.3, 15.1.x before 15.1.5.1, 14.1.x before 14.1.5, and all versions of 13.1.x, when running in Appliance mode, an authenticated user assigned the Administrator role may be able to bypass Appliance mode restrictions, using an undisclosed iControl REST endpoint. A successful exploit can allow the attacker to cross a security boundary. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated. En BIG-IP versiones 16.1.x anteriores a 16.1.3, 15.1.x anteriores a 15.1.5.1, 14.1.x anteriores a 14.1.5 y todas las versiones de 13.1.x, cuando es ejecutado en modo Appliance, un usuario autenticado al que se le haya asignado el rol de Administrador puede ser capaz de omitir las restricciones del modo Appliance, usando un endpoint REST de iControl no revelado. Una explotación con éxito puede permitir al atacante cruzar un límite de seguridad. • https://support.f5.com/csp/article/K11010341 • CWE-269: Improper Privilege Management •