Podatność w F5 BIG-IP Access Policy Manager (APM) pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu (RCE) poprzez wysłanie specjalnie spreparowanego ruchu sieciowego do wirtualnego serwera z skonfigurowaną polityką dostępu APM. Jest to podatność krytyczna (CVSS 9.3), aktywnie wykorzystywana w środowiskach produkcyjnych.
▸ Pokaż oryginał (EN)
When a BIG-IP APM access policy is configured on a virtual server, specific malicious traffic can lead to Remote Code Execution (RCE). Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
Podatność sklasyfikowana jest jako CWE-121 (stack-based buffer overflow). Gdy na wirtualnym serwerze BIG-IP skonfigurowana jest polityka dostępu APM, specjalnie spreparowany złośliwy ruch sieciowy może przepełnić bufor na stosie, prowadząc do przejęcia kontroli nad przepływem wykonania procesu. Atak nie wymaga uwierzytelnienia, interakcji użytkownika ani szczególnych warunków wstępnych — wystarczy, że atakujący ma dostęp sieciowy do interfejsu obsługiwanego przez podatny wirtualny serwer.
Atakujący może uzyskać zdalne wykonanie dowolnego kodu (RCE) na urządzeniu F5 BIG-IP, co w praktyce oznacza pełne przejęcie kontroli nad urządzeniem, w tym potencjalny dostęp do obsługiwanego ruchu sieciowego, danych uwierzytelniających użytkowników korzystających z APM oraz infrastruktury wewnętrznej.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z oficjalnym artykułem F5 K000156741 (https://my.f5.com/manage/s/article/K000156741). Do czasu wdrożenia poprawki należy rozważyć ograniczenie dostępu sieciowego do wirtualnych serwerów z konfiguracją APM wyłącznie do zaufanych adresów IP oraz monitorowanie anomalnego ruchu kierowanego do tych usług.
F5 BIG-IP Access Policy Manager (APM) — wersje wskazane w referencjach producenta (wersje objęte wsparciem technicznym); wirtualny serwer musi mieć skonfigurowaną politykę dostępu APM. Wersje, które osiągnęły koniec wsparcia technicznego (EoTS), nie są objęte oceną.
Podatność znajduje się w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza jej aktywne wykorzystywanie w środowiskach produkcyjnych. Producent F5 opublikował dedykowany artykuł K000156741. Administratorzy powinni potraktować tę podatność jako priorytet natychmiastowej reakcji.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XF5 Big Ip Access Policy Manager
APPF515.1.0 – 15.1.10.8 (bez)16.1.0 – 16.1.6.1 (bez)17.1.0 – 17.1.3 (bez)17.5.0 – 17.5.1.3 (bez)
CISA KEV — szczegółyi
- Dostawcai
- F5 ↗
- Produkti
- BIG-IP
- Data dodania do KEVi
- 27 marca 2026
- Termin remediation (USA)i
- 30 marca 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
F5 BIG-IP APM zawiera podatność przepełnienia buforu na stosie, która może pozwolić aktorowi zagrożenia na osiągnięcie zdalnego wykonania kodu.
▸ Pokaż oryginał (EN)
F5 BIG-IP APM contains a stack-based buffer overflow vulnerability that could allow a threat actor to achieve remote code execution.
Powiązane podatności
Undisclosed requests may bypass configuration utility authentication, allowing an attacker with network access...
On F5 BIG-IP 16.1.x versions prior to 16.1.2.2, 15.1.x versions prior to 15.1.5.1, 14.1.x versions prior to 14...
On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3....
On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3....
In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1, th...