F5の「BIG-IP」などに脆弱性 - アップデートが公開

F5は現地時間10月16日、四半期ごとに公開しているセキュリティアドバイザリを公開した。「BIG-IP」「BIG-IQ」それぞれ1件の脆弱性を明らかにしている。

「BIG-IP」のモニター機能において認証が欠如している脆弱性「CVE-2024-45844」が判明した。マネージャーのロール権限を持つ場合、権限を昇格して設定を変更することが可能となる。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.2」、「CVSSv4.0」では「8.6」と評価した。重要度は「高（High）」とされている。同社は「同17.1.1.4」「同16.1.5」「同15.1.10.5」にて脆弱性を修正した。

また「BIG-IQ」では、ユーザーインタフェースの非公開ページにクロスサイトスクリプティング（XSS）の脆弱性「CVE-2024-47139」が判明した。

「CVSSv3.1」のベーススコアは「6.8」、「CVSSv4.0」では「4.8」としており、重要度を「中（Medium）」としている。同社は脆弱性を修正した「同8.3.0」「同8.2.0.1」をリリースした。

同社は脆弱性が修正されたバージョンへアップデートするよう利用者に呼びかけている。

（Security NEXT - 2024/10/18 ） ツイート

PR

関連記事

図書館サーバからスパム送信、更新時の未承認設定変更が影響 - 岡山県
まもなく年末年始、長期休暇前にセキュリティ総点検を
「Apache StreamPark」に暗号化などの脆弱性3件が判明
「OpenShift GitOps」に権限昇格の脆弱性 - クラスタ掌握のおそれ
フィッシング契機に第三者が端末操作、個人情報流出か - 共立メンテナンス
ランサム被害で写真や動画が流出、調査を実施 - 横須賀学院
委託調査の関連データが保存されたPCを紛失 - 埼玉県
CiscoやSonicWallのゼロデイ脆弱性悪用に注意喚起 - 米CISA
「Node.js」のアップデートが再延期 - 年明け2026年1月7日を予定
リフト券販売サイトが改ざん、個人情報が流出 - 片品村