Vulnérabilités dans les produits F5

De multiples vulnérabilités ont été découvertes dans l’interface TMUI (“Traffic Management User Interface”) utilisée par les produits BIG-IP distribués par F5. Un attaquant distant exploitant ces vulnérabilités peut obtenir des informations sensibles, pousser les utilisateurs à effectuer des actions arbitraires, voire directement exécuter du code et des commandes arbitraires.

CVE-2020-5902 [Score CVSS v3 : 10.0] : Une vulnérabilité de type exécution de commandes et de code arbitraire a été découverte dans TMUI. Un attaquant distant non-authentifié peut exécuter des commandes système ainsi que du code Java arbitraire, via l’utilisation d’un bogue non-spécifié sur certaines pages de l’interface. 

CVE-2020-5904 [Score CVSS v3 : 8.8] : Une vulnérabilité de type CSRF a été découverte dans TMUI. Un attaquant distant non-authentifié peut forcer un utilisateur (tel qu’un administrateur) à exécuter des actions sensibles, dont l’exécution de commandes TMOS Shell. 

CVE-2020-5903 [Score CVSS v3 : 7.5] : Une vulnérabilité de type XSS a été découverte dans TMUI. Un attaquant distant non-authentifié peut forcer l’exécution de code JavaScript par un utilisateur, pouvant résulter en la compromission totale de la machine si ce dernier dispose d’un niveau de privilèges administrateur.