9VSA22-00746-01 CSIRT alerta de nuevas vulnerabilidades en BIG-IP y BIG-IQ de F5

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte información entregada por F5 sobre vulnerabilidades en algunos de sus productos.

Vulnerabilidades

CVE-2022-41622 y CVE-2022-41800

Impacto

Vulnerabilidades de mayor riesgo (riesgo alto)

CVE-2022-41622 (CVSS: 8.8): Vulnerabilidad CSRF a través de iControl SOAP, que puede llevar a la ejecución remota de código.

CVE-2022-41800 (CVSS: 8.7): Vulnerabilidad de iControl REST que podría permitir a un usuario autenticado con rol de Administrador evadir las restricciones del modo Appliance.

Productos afectados

BIG-IP 13.x, 14.x, 15.x, 16.x, y 17.x

BIG-IQ Centralized Management versiones 7.x y 8.x.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://support.f5.com/csp/article/K97843387

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41800

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41622

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00746-01.