[TLP:CLEAR] F5 opravuje přes 50 zranitelností ve svých produktech
F5 Networks opravuje přes 50 zranitelností v různých produktech [1][2][3]. Vybrané zranitelnosti jsou popsány níže, zbylé naleznete na [1]. Nejaktuálnější opravené verze jednotlivých produktů: BIG-IP (všechny moduly) [1] - 21.0.0.2, 17.5.1.6, 17.1.3.2 BIG-IQ Centralized Management [1] - 8.4.2 BIG-IP Next SPK [1] - 2.0.3, 1.7.17 BIG-IP Next CNF [1] - 2.0.3, 1.4.1 BIG-IP Next for Kubernetes [1] - 2.2.0 NGINX Plus [2] - 37.0.1.1, R36 P5, R32 P7 NGINX Open Source [2] - 1.31.1, 1.30.2 NGINX Gateway Fabric [2] - 2.6.2 NGINX Ingress Controller [2] - 5.4.3 F5 WAF for NGINX [1] - 5.13.0 F5 DoS for NGINX [1] - 4.9.0 NGINX JavaScript (njs) [3] - 0.9.9
Neautentizovanému vzdálenému útočníkovi je kvůli chybnému zpracování regulárních výrazů v modulu ngx_http_rewrite_module NGINX Plus a Open Source za určitých podmínek zasíláním speciálně vytvořených HTTP požadavků umožněno vykonat útok DoS na systém NGINX. Je-li v systému zakázáno Address Space Layout Randomization (ASLR) nebo dokáže-li útočník ASLR překonat, je mu potenciálně umožněno spustit kód [2].
Zranitelnost se nachází v produktech:
- NGINX Plus ve verzích >=37.0.0 AND <37.0.1.1
- NGINX Plus ve verzích (>=R32 AND <R32 P7) OR (>=R36 AND <R36 P5)
- NGINX Open Source ve verzích (>=0.1.17 AND <=0.9.7) OR (>=1.0.0 AND <1.30.2) OR (>=1.31.0 AND <1.31.1)
- NGINX Instance Manager ve verzích >=2.16.0 AND <=2.22.0
- F5 WAF for NGINX ve verzích >=5.9.0 AND <=5.13.0
- NGINX App Protect WAF ve verzích (>=4.10.0 AND <=4.16.0) OR (>=5.2.0 AND <=5.8.0)
- NGINX Gateway Fabric ve verzích (>=1.3.0 AND <=1.6.2) OR (>=2.0.0 AND <=2.6.1)
- NGINX Ingress Controller ve verzích (>=3.5.0 AND <=3.7.2) OR (>=4.0.0 AND <=4.0.1) OR (>=5.0.0 AND <=5.4.2)
- F5 DoS for NGINX ve verzích ==4.9.0
- NGINX App Protect DoS ve verzích >=4.3.0 AND <=4.7.0
CVSS: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2026-9256 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 22. 5. 2026.
Neautentizovanému vzdálenému útočníkovi je v modulu ngx_http_js_module (NGINX JavaScript) za určitých podmínek zasíláním speciálně vytvořených HTTP požadavků umožněno vykonat útok DoS na systém NGINX. Zranitelnost je zneužitelná, využívá-li js_fetch_proxy alespoň jednu proměnnou plně kontrolovanou klientem (např. HTTP hlavičky či argumenty) a v rámci stejného bloku (/location) dochází ke spuštění JavaScriptové operace ngx.fetch(). Je-li v systému zakázáno Address Space Layout Randomization (ASLR) nebo dokáže-li útočník ASLR překonat, je mu potenciálně umožněno spustit kód [3].
Zranitelnost se nachází v produktu NGINX JavaScript ve verzích >=0.9.4 AND <=0.9.8.
CVSS: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2026-8711 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 19. 5. 2026.
Autentizovanému vzdálenému útočníkovi s přístupem k rozhraní Configuration utility je v produktech BIG-IP a BIG-IQ za určitých podmínek umožněno spustit libovolné systémové příkazy, mazat/vytvářet soubory nebo neoprávněně vyřazovat služby z provozu. Obecně je doporučováno omezení přístupu k administraci Configuration utility pouze pro důvěryhodná zařízení a sítě [4].
Zranitelnost se nachází v produktech:
- BIG-IP ve verzích (>=16.1.0 AND <=16.1.6) OR (>=17.1.0 AND <17.1.3.1) OR (>=17.5.0 AND <17.5.1.4)
- BIG-IQ Centralized Management ve verzích >=8.4.0 AND <8.4.1
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2026-41957 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-502: Deserialization of Untrusted Data at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 5. 2026.
Odkazy
Za CESNET-CERTS Michaela Ručková dne 1. 6. 2026.
