Vulnérabilité dans plusieurs produits F5
Date de publication :
CVE-2021-22973 [Score CVSS v3 : 7.5] : Une vulnérabilité au sein du parser JSON implémenté dans plusieurs produits F5 a été corrigée. Cette faille est due à un manque de protection contre l’accès à la mémoire hors limite. Son exploitation peut permettre à un attaquant non authentifié d’injecter du code arbitraire ou de provoquer un déni de service de l’application vulnérable.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Injection de code arbitraire
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
Les composants impactés par cette vulnérabilités sont les suivants :
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM)
Les versions suivantes des composants sont impactées par cette vulnérabilité :
- 16.0.0 - 16.0.1
- 15.1.0 - 15.1.1
- 14.1.0 - 14.1.3
- 13.1.0 - 13.1.3
- 12.1.0 - 12.1.5
Il est important de noter que les produits F5 dépréciés ne font pas l’objet d’une analyse de vulnérabilité.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les produits F5 concernés vers une des versions suivantes :
- 16.0.1.1
- 15.1.2
- 14.1.3.1
- 13.1.3.5
- 12.1.5.3
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l'heure actuelle.