CVE-2026-40699

BIG-IP Configuration utility vulnerability

CVSS 7.1 HIGHEPSS 0.3%CWE-643

En resumen

La herramienta de Configuración de BIG-IP tiene páginas ocultas que un usuario autenticado con privilegios bajos puede acceder para ver información sensible que no debería ver. Esto es un problema porque los atacantes con acceso básico a la cuenta pueden descubrir y leer datos que deberían estar restringidos.

Detalle técnico

Una vulnerabilidad de inyección XPath (CWE-643) en páginas no divulgadas de la Configuration utility permite que usuarios autenticados con bajos privilegios eludan controles de acceso y recuperen información sensible. El ataque requiere autenticación previa pero sin privilegios elevados, permitiendo escalación de privilegios horizontal o vertical a través de divulgación de información.

Resumen generado y traducido por IA a partir de la descripción oficial.

A vulnerability exists in the undisclosed pages in the Configuration utility that may allow a low-privileged authenticated attacker to access to undisclosed sensitive information. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Productos afectados

F5 · BIG-IP

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://my.f5.com/manage/s/article/K000156734