Se han reportado dos vulnerabilidades en F5 Next Central Manager que a través de las API de BIG-IP Next Central Manager podrían permitir a un actor malicioso tomar el control de los dispositivos y crear cuentas de administrador ocultas y malintencionadas para persistencia.
Las vulnerabilidades están identificadas como:
CVE-2024-21793 (CVSSv3 7.5): vulnerabilidad de inyección 0Data que podría permitir a un actor malicioso no autenticado ejecutar declaraciones SQL.
CVE-2024-26026 (CVSSv3 7.5): vulnerabilidad de inyección SQL que podría permitir a un actor malicioso no autenticado ejecutar declaraciones SQL maliciosas a través de la API de BIG-IP Next Central Manager.
Productos afectados:
- Next Central Manager desde la versión 20.0.1 hasta la 20.1.0
Recomendación:
Se recomienda actualizar a la última versión disponible desde la página oficial del fabricante.
Referencia:
- https://thehackernews.com/2024/05/critical-f5-central-manager.html
- https://my.f5.com/manage/s/article/K000138732
- https://my.f5.com/manage/s/article/K000138733
- https://nvd.nist.gov/vuln/detail/CVE-2024-21793
- https://nvd.nist.gov/vuln/detail/CVE-2024-26026