F5 corrige la vulnérabilité à haut risque du contrôleur NGINX lors du déploiement du correctif de janvier

Le fournisseur de technologie de mise en réseau et de livraison d’applications F5 a corrigé une paire de vulnérabilités liées à la sécurité Web à fort impact.

Le premier point pour le triage était un risque d’injection de code impliquant Gestion de l’API du contrôleur NGINX de F5 technologie, qui permet aux équipes DevOps de « définir, publier, sécuriser, surveiller et analyser les API ».

F5 explique : « Un attaquant authentifié ayant accès au rôle « utilisateur » ou « administrateur » peut utiliser des points de terminaison d’API non divulgués sur NGINX Controller API Management pour injecter du code JavaScript qui est exécuté sur des instances de plan de données NGINX gérées.

La vulnérabilité – suivie comme CVE-2022-23008 – obtient un score CVSS de 8,7, ce qui en fait la faille la plus grave du dernier lot de correctifs de F5.

L’exploitation réussie de la faille permettrait à un attaquant de lire et/ou d’écrire des fichiers sur l’instance du plan de données NGINX. La vulnérabilité a été découverte en interne par F5.

Les utilisateurs sont invités à passer à la version 3.19.1.

Équilibreur de charge BIG-IP

Il convient également de noter une vulnérabilité de script intersite (XSS) basée sur DOM impliquant l’équilibreur de charge BIG-IP de F5. Le CVE-2022-23013 Une vulnérabilité dans l’utilitaire de configuration BIG-IP pourrait permettre à un attaquant d’exécuter JavaScript dans le contexte de l’utilisateur actuellement connecté.

La faille obtient un score CVSS de 7,5, ce qui en fait une autre menace de gravité élevée. Le problème a également été découvert en interne par des ingénieurs de F5.

Le dernier lot de correctifs trimestriel de F5 corrige un total de 15 vulnérabilités de gravité « élevée », neuf failles de risque « moyen » et un bogue de gravité « faible ». De nombreuses failles impliquent des risques de gestion de la mémoire ou de plantage du système (déni de service).

Une ventilation complète du contenu des correctifs, publiés mercredi dernier (19 janvier), ainsi que des conseils de correction suggérés, peuvent être trouvés dans le lien de F5 conseil en sécurité.