F5 Networks BIG-IP:目錄遊走及檔案刪除 (ID 363027)

medium Nessus Plugin ID 80119

Synopsis

遠端裝置缺少供應商提供的安全性修補程式。

描述

'properties.jsp' 與 'tmui/Control/form' 中包含一個如何驗證使用者提供之參數 (特別是 'name' 參數) 的瑕疵。具有「資源系統管理員」或「系統管理員」角色的經驗證使用者可惡意利用此瑕疵,透過使用目錄遊走序列的標準 HTTP 要求任意模擬及後續刪除系統上的檔案。

解決方案

升級至 10.2.2 Hotfix 2/ 11 版或更新版本。

另請參閱

http://www.nessus.org/u?c2087c03

http://www.exploit-db.com/exploits/35222/

Plugin 詳細資訊

嚴重性: Medium

ID: 80119

檔案名稱: f5_bigip_ID363027.nasl

版本: 1.4

類型: local

已發布: 2014/12/19

已更新: 2018/7/10

風險資訊

VPR

風險因素: Medium

分數: 5.5

CVSS v2

風險因素: Medium

基本分數: 6.2

時間分數: 4.9

媒介: AV:L/AC:L/Au:S/C:N/I:C/A:C

時間媒介: E:POC/RL:OF/RC:C

弱點資訊

CPE: cpe:/a:f5:big-ip_local_traffic_manager

必要的 KB 項目: Host/local_checks_enabled, Host/BIG-IP/hotfix, Host/BIG-IP/modules, Host/BIG-IP/version

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2011/8/24

弱點發布日期: 2014/11/12

參考資訊

CVE: CVE-2014-8727

BID: 71063

EDB-ID: 35222