F5の「BIG-IP」などに脆弱性 - アップデートが公開

F5は現地時間10月16日、四半期ごとに公開しているセキュリティアドバイザリを公開した。「BIG-IP」「BIG-IQ」それぞれ1件の脆弱性を明らかにしている。

「BIG-IP」のモニター機能において認証が欠如している脆弱性「CVE-2024-45844」が判明した。マネージャーのロール権限を持つ場合、権限を昇格して設定を変更することが可能となる。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.2」、「CVSSv4.0」では「8.6」と評価した。重要度は「高（High）」とされている。同社は「同17.1.1.4」「同16.1.5」「同15.1.10.5」にて脆弱性を修正した。

また「BIG-IQ」では、ユーザーインタフェースの非公開ページにクロスサイトスクリプティング（XSS）の脆弱性「CVE-2024-47139」が判明した。

「CVSSv3.1」のベーススコアは「6.8」、「CVSSv4.0」では「4.8」としており、重要度を「中（Medium）」としている。同社は脆弱性を修正した「同8.3.0」「同8.2.0.1」をリリースした。

同社は脆弱性が修正されたバージョンへアップデートするよう利用者に呼びかけている。

（Security NEXT - 2024/10/18 ） ツイート

PR

関連記事

「Google Chrome」に8件の脆弱性 - アップデートが公開
「MS Edge」にアップデート - 脆弱性22件を解消
「MS Edge」も2度にわたり更新 - ゼロデイ脆弱性を解消
「Harbor」に脆弱性、初期PW未変更で不正アクセスのおそれ
S3互換の「MinIO」に脆弱性 - OSS版は開発終了で未修正
「NetScaler ADC/Gateway」に深刻な脆弱性 - 最新版へ更新を
教員名簿で年齢を削除せずにサイトで誤掲載 - 山形大
避難行動要支援者への同意書を誤送付、生成データに齟齬 - 伊丹市
委託先サーバから卒業生の個人情報が流出 - 国武大
個人情報を不正取得、漏洩した職員を懲戒免職 - 二本松市