製品・ソフトウェアに関する情報
複数の F5 Networks 製品におけるパストラバーサルの脆弱性
Title 複数の F5 Networks 製品におけるパストラバーサルの脆弱性
Summary

BIG-IP Access Policy Manager (APM)、BIG-IP Advanced Firewall Manager (AFM)、BIG-IP Advanced Web Application Firewall (WAF) 等複数の F5 Networks 製品には、パストラバーサルの脆弱性が存在します。

Possible impacts 情報を取得される可能性があります。 
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date May 3, 2023, midnight
Registration Date Dec. 5, 2023, 12:06 p.m.
Last Update Dec. 5, 2023, 12:06 p.m.
CVSS3.0 : 警告
Score 4.3
Vector CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Affected System
F5 Networks
BIG-IP Access Policy Manager (APM) 13.1.0 から 13.1.5
BIG-IP Access Policy Manager (APM) 14.1.0 以上 14.1.5.4 未満
BIG-IP Access Policy Manager (APM) 15.1.0 以上 15.1.8.2 未満
BIG-IP Access Policy Manager (APM) 16.1.0 以上 16.1.3.4 未満
BIG-IP Access Policy Manager (APM) 17.0.0 以上 17.1.0.1 未満
BIG-IP Advanced Firewall Manager (AFM) 13.1.0 から 13.1.5
BIG-IP Advanced Firewall Manager (AFM) 14.1.0 以上 14.1.5.4 未満
BIG-IP Advanced Firewall Manager (AFM) 15.1.0 以上 15.1.8.2 未満
BIG-IP Advanced Firewall Manager (AFM) 16.1.0 以上 16.1.3.4 未満
BIG-IP Advanced Firewall Manager (AFM) 17.0.0 以上 17.1.0.1 未満
BIG-IP Advanced Web Application Firewall (WAF) 13.1.0 から 13.1.5
BIG-IP Advanced Web Application Firewall (WAF) 14.1.0 以上 14.1.5.4 未満
BIG-IP Advanced Web Application Firewall (WAF) 15.1.0 以上 15.1.8.2 未満
BIG-IP Advanced Web Application Firewall (WAF) 16.1.0 以上 16.1.3.4 未満
BIG-IP Advanced Web Application Firewall (WAF) 17.0.0 以上 17.1.0.1 未満
BIG-IP Analytics 13.1.0 から 13.1.5
BIG-IP Analytics 14.1.0 以上 14.1.5.4 未満
BIG-IP Analytics 15.1.0 以上 15.1.8.2 未満
BIG-IP Analytics 16.1.0 以上 16.1.3.4 未満
BIG-IP Analytics 17.0.0 以上 17.1.0.1 未満
BIG-IP Application Acceleration Manager (AAM) 
BIG-IP Application Security Manager (ASM) 
BIG-IP Application Visibility and Reporting 
BIG-IP Carrier-Grade Network Address Translation (CGNAT) 
BIG-IP DDoS Hybrid Defender 
BIG-IP Domain Name System (DNS) 
BIG-IP Edge Gateway 
BIG-IP Fraud Protection Service (FPS) 
BIG-IP Global Traffic Manager (GTM) 
BIG-IP Link Controller 
BIG-IP Local Traffic Manager (LTM) 
BIG-IP Policy Enforcement Manager (PEM) 
BIG-IP SSL Orchestrator 
BIG-IP WebAccelerator 
BIG-IP WebSafe 
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2023年12月05日]   掲載 Dec. 5, 2023, 10:54 a.m.

NVD Vulnerability Information
CVE-2023-28406
Summary

A directory traversal vulnerability exists in an undisclosed page of the BIG-IP Configuration utility which may allow an authenticated attacker to read files with .xml extension. Access to restricted information is limited and the attacker does not control what information is obtained. 

Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

Publication Date May 4, 2023, 12:15 a.m.
Registration Date May 4, 2023, 10 a.m.
Last Update Nov. 21, 2024, 4:55 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_local_traffic_manager:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_link_controller:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_global_traffic_manager:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_fraud_protection_service:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_domain_name_system:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_advanced_web_application_firewall:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_application_acceleration_manager:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_application_visibility_and_reporting:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_carrier-grade_nat:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_ddos_hybrid_defender:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_edge_gateway:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_ssl_orchestrator:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_webaccelerator:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_domain_name_system:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_edge_gateway:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_fraud_protection_service:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_global_traffic_manager:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_link_controller:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_websafe:*:*:*:*:*:*:*:* 13.1.0 13.1.5
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_advanced_web_application_firewall:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_application_acceleration_manager:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_application_visibility_and_reporting:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_carrier-grade_nat:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_ddos_hybrid_defender:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_domain_name_system:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_edge_gateway:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_fraud_protection_service:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_global_traffic_manager:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_local_traffic_manager:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_ssl_orchestrator:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_webaccelerator:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_websafe:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_fraud_protection_service:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_global_traffic_manager:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_link_controller:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_link_controller:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_local_traffic_manager:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_local_traffic_manager:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_ssl_orchestrator:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_ssl_orchestrator:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_webaccelerator:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_webaccelerator:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_websafe:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_websafe:*:*:*:*:*:*:*:* 15.1.0 15.1.8.2
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_advanced_web_application_firewall:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_advanced_web_application_firewall:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_analytics:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_application_acceleration_manager:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_application_acceleration_manager:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_application_acceleration_manager:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_application_security_manager:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_application_visibility_and_reporting:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_application_visibility_and_reporting:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_application_visibility_and_reporting:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_carrier-grade_nat:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_carrier-grade_nat:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_carrier-grade_nat:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_ddos_hybrid_defender:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_ddos_hybrid_defender:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_ddos_hybrid_defender:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_domain_name_system:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_domain_name_system:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_edge_gateway:*:*:*:*:*:*:*:* 14.1.0 14.1.5.4
cpe:2.3:a:f5:big-ip_edge_gateway:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_fraud_protection_service:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_global_traffic_manager:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_link_controller:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_local_traffic_manager:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_policy_enforcement_manager:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_ssl_orchestrator:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_webaccelerator:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_websafe:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_access_policy_manager:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
cpe:2.3:a:f5:big-ip_advanced_firewall_manager:*:*:*:*:*:*:*:* 17.0.0 17.1.0.1
cpe:2.3:a:f5:big-ip_advanced_web_application_firewall:*:*:*:*:*:*:*:* 16.1.0 16.1.3.4
Related information, measures and tools
Common Vulnerabilities List