[TLP:CLEAR] F5 opravuje 5 zranitelností v různých produktech
F5 opravuje 5 zranitelností v různých produktech. Nejzávažnější z nich jsou popsány níže, zbylé naleznete na [1]. Opravené verze jednotlivých produktů: BIG-IP Advanced WAF/ASM [2] - 17.1.3 NGINX Plus [3] - R36 P2, R35 P1, R32 P4 NGINX Open Source [3] - 1.29.5, 1.28.2 NGINX Ingress Controller [3] - 5.3.3 NGINX Gateway Fabric [3] - 2.4.1 BIG-IP Container Ingress Services (Kubernetes a OpenShift) [4] - 2.20.2 (nebo 2.20.1 s Helm ve verzi 0.0.36)
Neautentizovanému vzdálenému útočníkovi je za určitých podmínek kvůli zranitelnosti typu race condition v BIG-IP Advanced WAF/ASM umožněno restartovat proces bd a potenciálně vykonat útok DoS na systém [2]. Není-li možné aktualizovat na opravenou verzi ihned, je pro dočasnou mitigaci dopadu potenciálního zneužití zranitelnosti doporučeno konfigurovat systém v režimu vysoké dostupnosti (HA) [5][6].
Zranitelnost se nachází v produktech:
- BIG-IP Advanced WAF ve verzích >=17.1.0 AND <=17.1.2
- BIG-IP Advanced ASM ve verzích >=17.1.0 AND <=17.1.2
CVSS: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2026-22548 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 2. 2026.
Neautentizovanému vzdálenému útočníkovi v pozici MITM mezi proxy serverem NGINX (Plus/Open Source) a upstreamovými TLS servery je za určitých podmínek umožněno vložit vlastní data v plain textu do odpovědí zasílaných klientům [3].
Zranitelnost se nachází v produktech:
- NGINX Plus ve verzích >=R32 AND <=R36 P1
- NGINX Open Source ve verzích >=1.3.0 <=1.29.4
- NGINX Ingress Controller ve verzích (>=3.4.0 AND <=3.7.2) OR (>=4.0.0 AND <=4.0.1) OR (>=5.0.0 AND <=5.3.2)
- NGINX Gateway Fabric ve verzích (>=1.2.0 AND <=1.6.2) OR (>=2.0.0 AND <=2.4.0)
- NGINX Instance Manager ve verzích >=2.15.1 AND <=2.21.0
CVSS: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N
Více informací:
- CVE-2026-1642 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-349: Acceptance of Extraneous Untrusted Data With Trusted Data at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 2. 2026.
Autentizovanému vzdálenému útočníkovi s vyššími oprávněními v BIG-IP Container Ingress Services pro Kubernetes a OpenShift je v rámci klastru umožněno neoprávněně číst citlivá data (secrets) [4].
Zranitelnost se nachází v produktu BIG-IP Container Ingress Services ve verzích (>=1.0.0 AND <=1.14.0) OR (>=2.0.0 AND <2.20.2).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Více informací:
- CVE-2026-22549 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-250: Execution with Unnecessary Privileges at cwe.mitre.org
Zranitelnost byla veřejně oznámena 4. 2. 2026.
Odkazy
Za CESNET-CERTS Michaela Ručková dne 12. 2. 2026.
