← volver
CVE-2021-22986

CVE-2021-22986

CVSS 9.8 CRITICALEPSS 99.9%● KEVCWE-918
En resumen

La interfaz iControl REST en F5 BIG-IP y BIG-IQ permite que atacantes ejecuten comandos remotamente sin autenticación. Un atacante puede tomar control total del dispositivo afectado a través de la red sin necesidad de contraseña.

Detalle técnico

Un atacante no autenticado puede ejecutar comandos arbitrarios en dispositivos BIG-IP y BIG-IQ a través de la API REST iControl (CWE-918). No se requiere autenticación; la explotación ocurre enviando solicitudes manipuladas al endpoint REST vulnerable, resultando en compromiso total del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.
On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3.6, and 12.1.x before 12.1.5.3 amd BIG-IQ 7.1.0.x before 7.1.0.3 and 7.0.0.x before 7.0.0.2, the iControl REST interface has an unauthenticated remote command execution vulnerability. Note: Software versions which have reached End of Software Development (EoSD) are not evaluated.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · BIG-IP; BIG-IQ
PoCs públicas encontradas17
githubgithub.com/Al1ex/CVE-2021-2298691githubgithub.com/dorkerdevil/CVE-2021-22986-Poc51githubgithub.com/S1xHcL/f5_rce_poc27githubgithub.com/Tas9er/CVE-2021-2298614githubgithub.com/west9b/F5-BIG-IP-POC10githubgithub.com/yaunsky/CVE-202122986-EXP8githubgithub.com/safesword/F5_RCE4githubgithub.com/ZephrFish/CVE-2021-22986_Check3githubgithub.com/kiri-48/CVE-2021-229860githubgithub.com/Osyanina/westone-CVE-2021-22986-scanner0githubgithub.com/microvorld/CVE-2021-229860githubgithub.com/huydung26/CVE-2021-229860githubgithub.com/dotslashed/CVE-2021-229860githubgithub.com/amitlttwo/CVE-2021-229860exploitdbwww.exploit-db.com/exploits/49738no verificadocve_referencepacketstormsecurity.com/files/162066/F5-BIG-IP-16.0.x-Remote-Code-Execution.htmlno verificadocve_referencepacketstormsecurity.com/files/162059/F5-iControl-Server-Side-Request-Forgery-Remote-Command-Execution.htmlno verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://packetstormsecurity.com/files/162059/F5-iControl-Server-Side-Request-Forgery-Remote-Command-Execution.htmlhttp://packetstormsecurity.com/files/162066/F5-BIG-IP-16.0.x-Remote-Code-Execution.htmlhttps://support.f5.com/csp/article/K03009991https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-22986