F5(F5 Networks)是全球领先的应用交付网络(ADN)领域的厂商。12月17日,F5 BIG-IP(负载均衡器)发现XSS(跨站脚本攻击)漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
来源:https://support.f5.com/csp/article/K19166530
CVE-2020-27719 CVSSv3评分:7.5 高
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是Javascript,但实际上也可以包括Java、 VBscript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
攻击者可以利用此漏洞在当前登录用户的上下文中运行Javascript,发起XSS攻击。具有成功利用此漏洞的高级外壳(bash)访问权限的管理用户可以通过远程执行代码来完全破坏BIG-IP系统。
受影响产品及版本
BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, link Controller, PEM, SSLO)以下版本受到影响:
16.0.0版本,
15.0.0 - 15.1.0版本,
14.1.0 - 14.1.3版本
解决方案
BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, link Controller, PEM, SSLO) :
16.0.0升级16.0.1版本,
15.0.0 - 15.1.0升级15.1.1版本,
14.1.0 - 14.1.3升级14.1.3.1版本
查看更多漏洞信息 以及升级请访问官网:
https://support.f5.com/csp/bug-tracker