Impatto Sistemico

Medio (56.41)

Sintesi

Rilevate 5 nuove vulnerabilità, di cui 2 con gravità “alta”, nei prodotti BIG-IP Advanced Web Application Firewall (WAF), Application Security Manager (ASM) e la suite NGINX di F5. In determinate configurazioni, lo sfruttamento delle vulnerabilità potrebbe compromettere la disponibilità dei servizi erogati o l’integrità delle informazioni in transito.

Tipologia

• Denial of Service
• Tampering

Prodotti e/o versioni affette

F5

• BIG-IP Advanced WAF/ASM, dalla versione 17.1.0 alla 17.1.2
• NGINX Plus, dalla versione R32 alla versione R36 P1
• NGINX Open Source, dalla versione 1.3.0 alla 1.29.4
• NGINX Ingress Controller, dalla versione 3.4.0 alla 3.7.2
• NGINX Ingress Controller, dalla versione 4.0.0 alla 4.0.1
• NGINX Ingress Controller, dalla versione 5.0.0 alla 5.3.2
• NGINX Gateway Fabric, dalla versione 1.2.0 alla 1.6.2
• NGINX Gateway Fabric, dalla versione 2.0.0 alla 2.4.0
• NGINX Instance Manager, dalla versione 2.15.1 alla 2.21.0

Azioni di mitigazione

Si raccomanda di applicare le mitigazioni fornite dal vendor nei relativi bollettini di sicurezza disponibili ai link riportati nella sezione Riferimenti.

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”: