云安全日报201218:负载均衡厂商F5 BIG-IP发现跨站脚本漏洞,需要尽快升级
F5(F5 Networks)是全球领先的应用交付网络(ADN)领域的厂商。12月17日,F5 BIG-IP(负载均衡器)发现XSS(跨站脚本攻击)漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
来源:https://support.f5.com/csp/article/K19166530
CVE-2020-27719 CVSSv3评分:7.5 高
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
攻击者可以利用此漏洞在当前登录用户的上下文中运行JavaScript,发起XSS攻击。具有成功利用此漏洞的高级外壳(bash)访问权限的管理用户可以通过远程执行代码来完全破坏BIG-IP系统。
受影响产品及版本
BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)以下版本受到影响:
16.0.0版本,
15.0.0 - 15.1.0版本,
14.1.0 - 14.1.3版本
解决方案
BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO) :
16.0.0升级16.0.1版本,
15.0.0 - 15.1.0升级15.1.1版本,
14.1.0 - 14.1.3升级14.1.3.1版本
查看更多漏洞信息 以及升级请访问官网:
https://support.f5.com/csp/bug-tracker
您可能也感兴趣:
官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
周鸿祎:多模态大模型+物联网 是下一个风口
FF 91迎来交付时刻 贾跃亭开抖音造势 你愿意再次为梦想窒息吗?
赛力斯:大股东质押风险可控 不存在平仓风险
苹果WWDC23主题演讲有望超过2个小时 成苹果最长主题演讲之一
外媒称苹果已下调MR头显上市首年销量预期 由300万台降至90万台
WWDC23临近 苹果MR头显屏幕规格曝光:搭载2块1.41英寸屏幕
iPhone 15系列相机大升级:定制三层堆栈式传感器 媲美全画幅单反
快播宣告破产 公司已注销
更多
- 苹果WWDC23主题演讲有望超过2个小时 成苹果最长主题演讲之一
- LG电子正同初创公司Tenstorrent联手研发下一代芯片
- 苹果推出Android版Apple Music Classical古典音乐应用
- 外媒称苹果已下调MR头显上市首年销量预期 由300万台降至90万台
- WWDC23临近 苹果MR头显屏幕规格曝光:搭载2块1.41英寸屏幕
- 苹果正式发布WWDC23预告 混合现实头显有望发布
- 英伟达股价仍在上涨 市值周二盘中突破一万亿美元
- 起亚计划今年在欧洲销售9.3万电动汽车 去年销售7.16万辆
- 马斯克暗示SpaceX可能在8月份进行星际飞船二次试飞
- 苹果新任全球销售副总裁曾是iPhone全球销售主管 加入苹果已15年