F5是全球领先的应用交付网络领域的厂商。12月17日,F5 BIG-IP发现XSS漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
来源:https://support.f5.com/csp/article/K19166530
CVE-2020-27719 CVSSv3评分:7.5 高
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限、私密网页内容、会话和cookie等各种内容。
攻击者可以利用此漏洞在当前登录用户的上下文中运行JavaScript,发起XSS攻击。具有成功利用此漏洞的高级外壳访问权限的管理用户可以通过远程执行代码来完全破坏BIG-IP系统。
受影响产品及版本
BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)以下版本受到影响:
16.0.0版本,
15.0.0 – 15.1.0版本,
14.1.0 – 14.1.3版本
解决方案
BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO) :
16.0.0升级16.0.1版本,
15.0.0 – 15.1.0升级15.1.1版本,
14.1.0 – 14.1.3升级14.1.3.1版本
查看更多漏洞信息以及升级请访问官网:
(图片)
