On F5 BIG-IP 16.1.x versions prior to 16.1.2.2, 15.1.x versions prior to 15.1.5.1, 14.1.x versions prior to 14.1.4.6, 13.1.x versions prior to 13.1.5, and all 12.1.x and 11.6.x versions, undisclosed requests may bypass iControl REST authentication. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HF5 Big Ip Access Policy Manager
APPF511.6.1 – 11.6.512.1.0 – 12.1.613.1.0 – 13.1.5 (bez)14.1.0 – 14.1.4.6 (bez)15.1.0 – 15.1.5.1 (bez)16.1.0 – 16.1.2.2 (bez)F5 Big Ip Advanced Firewall Manager
APPF511.6.1 – 11.6.512.1.0 – 12.1.613.1.0 – 13.1.5 (bez)14.1.0 – 14.1.4.6 (bez)15.1.0 – 15.1.5.1 (bez)16.1.0 – 16.1.2.2 (bez)F5 Big Ip Analytics
APPF511.6.1 – 11.6.512.1.0 – 12.1.613.1.0 – 13.1.5 (bez)14.1.0 – 14.1.4.6 (bez)15.1.0 – 15.1.5.1 (bez)16.1.0 – 16.1.2.2 (bez)F5 Big Ip Application Acceleration Manager
APPF511.6.1 – 11.6.512.1.0 – 12.1.613.1.0 – 13.1.5 (bez)14.1.0 – 14.1.4.6 (bez)15.1.0 – 15.1.5.1 (bez)16.1.0 – 16.1.2.2 (bez)F5 Big Ip Application Security Manager
APPF511.6.1 – 11.6.512.1.0 – 12.1.613.1.0 – 13.1.5 (bez)14.1.0 – 14.1.4.6 (bez)15.1.0 – 15.1.5.1 (bez)16.1.0 – 16.1.2.2 (bez)F5 Big Ip Domain Name System
APPF511.6.1 – 11.6.512.1.0 – 12.1.613.1.0 – 13.1.5 (bez)14.1.0 – 14.1.4.6 (bez)15.1.0 – 15.1.5.1 (bez)16.1.0 – 16.1.2.2 (bez)F5 Big Ip Fraud Protection Service
APPF511.6.1 – 11.6.512.1.0 – 12.1.613.1.0 – 13.1.5 (bez)14.1.0 – 14.1.4.6 (bez)15.1.0 – 15.1.5.1 (bez)16.1.0 – 16.1.2.2 (bez)F5 Big Ip Global Traffic Manager
APPF511.6.1 – 11.6.512.1.0 – 12.1.613.1.0 – 13.1.5 (bez)14.1.0 – 14.1.4.6 (bez)15.1.0 – 15.1.5.1 (bez)16.1.0 – 16.1.2.2 (bez)F5 Big Ip Link Controller
APPF511.6.1 – 11.6.512.1.0 – 12.1.613.1.0 – 13.1.5 (bez)14.1.0 – 14.1.4.6 (bez)15.1.0 – 15.1.5.1 (bez)16.1.0 – 16.1.2.2 (bez)F5 Big Ip Local Traffic Manager
APPF511.6.1 – 11.6.512.1.0 – 12.1.613.1.0 – 13.1.5 (bez)14.1.0 – 14.1.4.6 (bez)15.1.0 – 15.1.5.1 (bez)16.1.0 – 16.1.2.2 (bez)F5 Big Ip Policy Enforcement Manager
APPF511.6.1 – 11.6.512.1.0 – 12.1.613.1.0 – 13.1.5 (bez)14.1.0 – 14.1.4.6 (bez)15.1.0 – 15.1.5.1 (bez)16.1.0 – 16.1.2.2 (bez)
CISA KEV — detailsi
- Vendori
- F5 ↗
- Producti
- BIG-IP
- Added to KEVi
- May 10, 2022
- Remediation deadline (US Federal)i
- May 31, 2022(overdue)
- Ransomwarei
- Active ransomware campaigns exploit this vulnerability
Apply updates per vendor instructions.
F5 BIG-IP contains a missing authentication in critical function vulnerability which can allow for remote code execution, creation or deletion of files, or disabling services.
Related vulnerabilities
RCE w F5 BIG-IP APM poprzez złośliwy ruch sieciowy (stack buffer overflow)
Undisclosed requests may bypass configuration utility authentication, allowing an attacker with network access...
On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3....
On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3....
In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1, th...