Vigil@nce - F5 BIG-IP : upload de fichier via Access Policy Manager
mars 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant authentifié peut uploader un fichier malveillant via
Access Policy Manager sur F5 BIG-IP, afin par exemple de déposer
un Cheval de Troie.
– Produits concernés : BIG-IP Hardware, TMOS.
– Gravité : 2/4.
– Date création : 21/01/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit F5 BIG-IP dispose d’un service web pour l’utilitaire
BIG-IP Configuration.
Il peut être utilisé pour uploader un fichier via la section
Access Policy Manager de uploadImage.php. Cependant, comme le type
du fichier n’est pas restreint, un fichier PHP peut être uploadé
sur le serveur, puis exécuté.
Un attaquant authentifié peut donc uploader un fichier
malveillant via Access Policy Manager sur F5 BIG-IP, afin par
exemple de déposer un Cheval de Troie.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/F5-BIG-IP-upload-de-fichier-via-Access-Policy-Manager-18783