F5是全球应用交付网络领域的领先厂商。近日,F5 BIG-IP被发现存在一个跨站脚本(XSS)漏洞,建议用户尽快进行设备升级。以下是漏洞的详细信息:
漏洞信息
来源:F5官方支持页面
CVE-2020-27719 CVSSv3评分:7.5(高)
跨站脚本攻击是指攻击者利用网页开发过程中留下的安全漏洞,通过特定手法将恶意指令代码注入网页,使得用户加载并执行这些恶意程序。常见的恶意代码通常为JavaScript,但也可能包括Java、VBScript、ActiveX、Flash,甚至普通的HTML。成功攻击后,攻击者可能获取更高权限、私密网页内容、会话信息及cookie等。
攻击者可以利用此漏洞在当前用户的上下文中执行JavaScript,从而发起XSS攻击。拥有高级访问权限的管理用户若成功利用该漏洞,可以通过远程执行代码完全控制BIG-IP系统。
受影响的产品及版本
以下版本的BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)受此漏洞影响:
- 16.0.0
- 15.0.0 – 15.1.0
- 14.1.0 – 14.1.3
解决方案
对于受影响的BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)产品,建议进行以下升级:
- 将16.0.0升级至16.0.1
- 将15.0.0 – 15.1.0升级至15.1.1
- 将14.1.0 – 14.1.3升级至14.1.3.1
欲获取更多漏洞信息及升级指南,请访问官网:
([[[IMG_1]]])
