本文主要是介绍F5 BIG-IP Next Central Manager SQL注入漏洞(CVE-2024-26026、CVE-2024-21793),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
0x01 产品简介
BIG-IP Next Central Manager是BIG-IP Next的原生默认用户界面,它可跨平台管理BIG-IP Next实例。BIG-IP Next是F5 Networks公司推出的一款下一代BIG-IP软件,提供了多云应用安全和应用交付服务。
0x02 漏洞概述
CVE-2024-26026:BIG-IP Next Central Manager SQL注入漏洞
BIG-IP Next Central Manager 版本20.0.1 - 20.1.0的API (URI) 中存在SQL 注入漏洞,未经身份验证的威胁者可将恶意SQL查询注入数据库查询的输入字段或参数中,从而可能导致未授权访问、数据泄露和系统接管等。
CVE-2024-21793:BIG-IP Next Central Manager OData 注入漏洞
当启用 LDAP时,BIG-IP Next Central Manager 版本20.0.1 - 20.1.0的API (URI) 中存在OData 注入漏洞,该漏洞存在于Central Manager 处理 OData 查询的方式中,可能导致未经身份验证的威胁者注入OData 查询过滤器参数,从而获取敏感信息,如管理员密码哈希等。
0x03 影响范围
BIG-IP Next Central Manager 20.x :20.0.1 - 20.1.0
0x04 复现环境
FOFA:title=="BIG-IP Next | Central Manager"
这篇关于F5 BIG-IP Next Central Manager SQL注入漏洞(CVE-2024-26026、CVE-2024-21793)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!