CVSS: 8.8EPSS: 0%CPEs: 59EXPL: 0CVE-2021-23026
https://notcve.org/view.php?id=CVE-2021-23026
BIG-IP version 16.0.x before 16.0.1.2, 15.1.x before 15.1.3, 14.1.x before 14.1.4.2, 13.1.x before 13.1.4.1, and all versions of 12.1.x and 11.6.x and all versions of BIG-IQ 8.x, 7.x, and 6.x are vulnerable to cross-site request forgery (CSRF) attacks through iControl SOAP. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated. BIG-IP versiones 16.0.x anteriores a 16.0.1.2, versiones 15.1.x anteriores a 15.1.3, versiones 14.1.x anteriores a 14.1.4.2, versiones 13.1.x anteriores a 13.1.4.1 y todas las versiones de 12.1.x y la 11.6.x y todas las versiones de BIG-IQ 8.x, 7.x y 6.x son vulnerables a ataques de tipo cross-site request forgery (CSRF) mediante iControl SOAP. Nota: Las versiones de software que han alcanzado End of Technical Support (EoTS) no son evaluadas • https://support.f5.com/csp/article/K53854428 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.0EPSS: 1%CPEs: 3EXPL: 1CVE-2021-23024 – F5 BIG-IQ VE 8.0.0-2923215 Remote Root
https://notcve.org/view.php?id=CVE-2021-23024
On version 8.0.x before 8.0.0.1, and all 6.x and 7.x versions, the BIG-IQ Configuration utility has an authenticated remote command execution vulnerability in undisclosed pages. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated. En la versión 8.0.x anterior a 8.0.0.1, y en todas las versiones 6.x y 7.x, la utilidad BIG-IQ Configuration tiene una vulnerabilidad de ejecución de comandos remotos autenticados en páginas no reveladas. Nota: Las versiones de software que han alcanzado el fin del soporte técnico (EoTS) no se evalúan • http://packetstormsecurity.com/files/163264/F5-BIG-IQ-VE-8.0.0-2923215-Remote-Root.html https://support.f5.com/csp/article/K06024431 •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-23006
https://notcve.org/view.php?id=CVE-2021-23006
On all 7.x and 6.x versions (fixed in 8.0.0), undisclosed BIG-IQ pages have a reflected cross-site scripting vulnerability. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En todas las versiones 7.x y 6.x (corregidas en la versión 8.0.0), las páginas de BIG-IQ no reveladas presentan una vulnerabilidad de tipo cross-site scripting reflejado. Nota: No se evalúan las versiones de software que han alcanzado End of Software Development (EoSD). • https://support.f5.com/csp/article/K30585021 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-23005
https://notcve.org/view.php?id=CVE-2021-23005
On all 7.x and 6.x versions (fixed in 8.0.0), when using a Quorum device for BIG-IQ high availability (HA) for automatic failover, BIG-IQ does not make use of Transport Layer Security (TLS) with the Corosync protocol. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En todas las versiones 7.x y 6.x (corregidas en la versión 8.0.0), cuando se utiliza un dispositivo Quorum para alta disponibilidad (HA) de BIG-IQ para la conmutación automática por error, BIG-IQ no utiliza Transport Layer Security (TLS) con el protocolo Corosync. Nota: No se evalúan las versiones de software que han alcanzado End of Software Development (EoSD). • https://support.f5.com/csp/article/K01243064 •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-22997
https://notcve.org/view.php?id=CVE-2021-22997
On all 7.x and 6.x versions (fixed in 8.0.0), BIG-IQ HA ElasticSearch service does not implement any form of authentication for the clustering transport services, and all data used by ElasticSearch for transport is unencrypted. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated. En todas las versiones 7.x y 6.x (corregidas en 8.0.0), el servicio BIG-IQ HA ElasticSearch no implementa ninguna forma de autenticación para los servicios de transporte de clustering, y todos los datos utilizados por ElasticSearch para el transporte están sin cifrar. Nota: No se evalúan las versiones de software que han alcanzado End of Software Development (EoSD). • https://support.f5.com/csp/article/K34074377 • CWE-306: Missing Authentication for Critical Function •