製品・ソフトウェアに関する情報

JVN脆弱性詳細

F5 NetworksのBIG-IP Domain Name System (DNS)における重要な情報の平文保存に関する脆弱性

タイトル	F5 NetworksのBIG-IP Domain Name System (DNS)における重要な情報の平文保存に関する脆弱性
概要	BIG-IP DNSがプロビジョニングされている場合、gtm_addおよびbigip_addのiControl RESTコマンドに脆弱性が存在します。これらのコマンドはiControl RESTのレスポンス内でssh-passwordパラメータを平文で返し、監査ログにも記録されます。これにより、監査ログへのアクセス権を持つ高権限の認証済み攻撃者が機密情報を閲覧できる可能性があります。注：技術サポート終了（EoTS）に達したソフトウェアバージョンは評価対象外としています。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月13日0:00
登録日	2026年6月30日11:22
最終更新日	2026年6月30日11:22

影響を受けるシステム

F5 Networks

BIG-IP Domain Name System (DNS) 16.1.0 から 16.1.6

BIG-IP Domain Name System (DNS) 17.1.0 以上 17.1.3.1 未満

BIG-IP Domain Name System (DNS) 17.5.0 から 17.5.1

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-28758	https://www.cve.org/CVERecord?id=CVE-2026-28758
National Vulnerability Database (NVD)
2	CVE-2026-28758	https://nvd.nist.gov/vuln/detail/CVE-2026-28758

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-312	https://cwe.mitre.org/data/definitions/312.html

ベンダー情報

No	名前	URL
Security Advisory
1	iControl REST vulnerability CVE-2026-28758	https://my.f5.com/manage/s/article/K000158070

変更履歴

No	変更内容	変更日
1	[2026年06月30日] 掲載	2026年6月30日11:22

NVD脆弱性情報

CVE-2026-28758

概要	When BIG-IP DNS is provisioned, a vulnerability exists in the gtm_add and bigip_add iControl REST commands that return the ssh-password parameter in cleartext in the iControl REST response and is also logged in the audit log. This may allow a highly privileged, authenticated attacker with access to the audit log to view sensitive information. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated
公表日	2026年5月14日1:16
登録日	2026年5月15日4:20
最終更新日	2026年5月14日1:27