-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in F5 BIG-IP en BIG-IQ producten Advisory ID : NCSC-2026-0162 Versie : 1.00 Kans : medium CVE ID : CVE-2026-24464, CVE-2026-28758, CVE-2026-32643, CVE-2026-32673, CVE-2026-34176, CVE-2026-35062, CVE-2026-39455, CVE-2026-39458, CVE-2026-39459, CVE-2026-40060, CVE-2026-40061, CVE-2026-40067, CVE-2026-40423, CVE-2026-40435, CVE-2026-40462, CVE-2026-40618, CVE-2026-40629, CVE-2026-40631, CVE-2026-40698, CVE-2026-40699, CVE-2026-40703, CVE-2026-41217, CVE-2026-41218, CVE-2026-41219, CVE-2026-41225, CVE-2026-41227, CVE-2026-41953, CVE-2026-41954, CVE-2026-41956, CVE-2026-41957, CVE-2026-41959, CVE-2026-42058, CVE-2026-42063, CVE-2026-42406, CVE-2026-42408, CVE-2026-42409, CVE-2026-42780, CVE-2026-42781, CVE-2026-42919, CVE-2026-42920, CVE-2026-42924, CVE-2026-42930, CVE-2026-42937 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') Path Traversal: '.../...//' Improper Neutralization of Special Elements used in a Command ('Command Injection') Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') Stack-based Buffer Overflow Incorrect Calculation of Buffer Size Exposure of Sensitive Information to an Unauthorized Actor Execution with Unnecessary Privileges Unchecked Return Value Incorrect Privilege Assignment Privilege Defined With Unsafe Actions Least Privilege Violation Cleartext Storage of Sensitive Information Cross-Site Request Forgery (CSRF) Use After Free Unprotected Alternate Channel NULL Pointer Dereference Deserialization of Untrusted Data Insertion of Sensitive Information into Log File Files or Directories Accessible to External Parties Improper Neutralization of Data within XPath Expressions ('XPath Injection') Incorrect Use of Privileged APIs Incorrect Permission Assignment for Critical Resource Allocation of Resources Without Limits or Throttling Missing Release of Resource after Effective Lifetime Access of Uninitialized Pointer Loop with Unreachable Exit Condition ('Infinite Loop') Uitgiftedatum : 20260515 Toepassing : F5 AI Gateway F5 BIG-IP F5 BIG-IP APM F5 BIG-IP Advanced WAF/ASM F5 BIG-IP Advanced WAF/ASM and BIG-IP DDoS Hybrid Defender F5 BIG-IP DNS F5 BIG-IP Next CNF F5 BIG-IP Next SPK F5 BIG-IP Next for Kubernetes F5 BIG-IP PEM F5 BIG-IP SSL Orchestrator F5 BIG-IP tenants on BX110 blades on VELOS F5 BIG-IP tenants on BX520 blades on VELOS F5 BIG-IP tenants on all other rSeries systems F5 BIG-IP tenants on r10000 rSeries F5 BIG-IP tenants on r12000 rSeries F5 BIG-IP tenants on r5000 rSeries F5 BIG-IQ F5 BIG-IQ Centralized Management F5 Distributed Cloud (all services) F5 NGINX (all products) F5 OS-A F5 OS-C F5 SSL Orchestrator F5 Silverline (all services) F5 Traffix SDC Versie(s) : Platform(s) : Beschrijving F5 heeft meerdere kwetsbaarheden verholpen in de BIG-IP en BIG-IQ productlijnen, inclusief componenten zoals iControl REST, iControl SOAP, TMOS Shell, Traffic Management Microkernel (TMM), Configuration utility, Advanced WAF, ASM, PEM, DNS, Access Policy Manager (APM) en SSL Orchestrator. De kwetsbaarheden betreffen onder andere directory traversal, ongeautoriseerde bestandswijzigingen, blootstelling van gevoelige SSH-wachtwoorden in API-responses en auditlogs, privilege escalatie via onjuiste permissie-toewijzingen, remote command injection, cross- account informatielekken, en onverwachte procesafsluitingen (zoals van TMM, httpd, apmd en bd processen) door specifieke configuraties of ongedocumenteerde verkeerspatronen. Exploitatie vereist doorgaans geauthenticeerde toegang met rollen variƫrend van Manager, Resource Administrator tot Administrator, afhankelijk van de kwetsbaarheid. Sommige kwetsbaarheden maken het mogelijk om configuratieobjecten te wijzigen, wat kan leiden tot het uitvoeren van willekeurige commando's met verhoogde privileges. Andere kwetsbaarheden betreffen het lekken van gevoelige informatie via onjuiste toegangscontrole of onvoldoende validatie binnen managementinterfaces. Diverse kwetsbaarheden zijn specifiek voor Appliance mode of bepaalde configuratieprofielen zoals SSL, HTTP/2, SIP, LDAP authenticatie, en SNMP configuraties. De impact omvat onder meer het omzeilen van beveiligingscontroles, het escaleren van privileges, het lekken van gevoelige gegevens, en het verstoren van de beschikbaarheid en stabiliteit van netwerk- en applicatiebeheercomponenten. Niet-ondersteunde softwareversies zijn in de meeste gevallen niet geƫvalueerd voor deze kwetsbaarheden. Mogelijke oplossingen F5 heeft updates uitgebracht om de kwetsbaarheden in de BIG-IP en BIG-IQ producten te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://my.f5.com/manage/s/article/K000160975 Reference https://my.f5.com/manage/s/article/K000160979 Reference https://my.f5.com/manage/s/article/K000160981 Reference https://my.f5.com/manage/s/article/K000161018 Reference https://my.f5.com/manage/s/article/K000161022 Reference https://my.f5.com/manage/s/article/K000161023 Reference https://my.f5.com/manage/s/article/K000161040 Reference https://my.f5.com/manage/s/article/K000161056 Reference https://my.f5.com/manage/s/article/K000161107 Reference https://my.f5.com/manage/s/article/K000149743 Reference https://my.f5.com/manage/s/article/K000156581 Reference https://my.f5.com/manage/s/article/K000156604 Reference https://my.f5.com/manage/s/article/K000156761 Reference https://my.f5.com/manage/s/article/K000156734 Reference https://my.f5.com/manage/s/article/K000157895 Reference https://my.f5.com/manage/s/article/K000157981 Reference https://my.f5.com/manage/s/article/K000158038 Reference https://my.f5.com/manage/s/article/K000158070 Reference https://my.f5.com/manage/s/article/K000158082 Reference https://my.f5.com/manage/s/article/K000158971 Reference https://my.f5.com/manage/s/article/K000158978 Reference https://my.f5.com/manage/s/article/K000158979 Reference https://my.f5.com/manage/s/article/K000159021 Reference https://my.f5.com/manage/s/article/K000159034 Reference https://my.f5.com/manage/s/article/K000160727 Reference https://my.f5.com/manage/s/article/K000160788 Reference https://my.f5.com/manage/s/article/K000160857 Reference https://my.f5.com/manage/s/article/K000160862 Reference https://my.f5.com/manage/s/article/K000160863 Reference https://my.f5.com/manage/s/article/K000160874 Reference https://my.f5.com/manage/s/article/K000160875 Reference https://my.f5.com/manage/s/article/K000160876 Reference https://my.f5.com/manage/s/article/K000160901 Reference https://my.f5.com/manage/s/article/K000160903 Reference https://my.f5.com/manage/s/article/K000160911 Reference https://my.f5.com/manage/s/article/K000160916 Reference https://my.f5.com/manage/s/article/K000160926 Reference https://my.f5.com/manage/s/article/K000160945 Reference https://my.f5.com/manage/s/article/K000160971 Reference https://my.f5.com/manage/s/article/K000160972 Reference https://my.f5.com/manage/s/article/K000160973 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmoHDdwACgkQgupWoL0Z hGFBeAwAo9XUBrPRZyr+jEUJ4yOym4b6mpMkFO/2DDkMVR7D1Ba0dMR/ntmT1jz8 Tg+/WIZf7VgmDSP8QMhfYWhoKlWzWghr+usYyboKpE/Y0U59Lt6h53A3phM2aM4i Z7NQghnpsydCmmy0vb7mnt27oldL6YFGSBETctDdLJIjeWhHWPRdaQgH5OAfZO5Z AyTHT1hHbusNseuk3v2kZEJXtiKg7FgIkwO0081avJRGfl+VRGU2DltcyNo5Z/WH +ORhSY2zz3vyVaRjVQl/cGZfZPaSdr3ltXVanC4maY8wSO22jtOm1XJzwL9LOXrr VTxFOIyF+DdF/sdjPwk5/dTxpUiYbqY4G9zlC18b7BNnbCuaVVaaDSNjxhUmwtwt 8MZalcJA3n0yVMMkeqz9cltKcX27S6/xK5qyBgTeeuECSCJoFdq/dBXcarCUcB3i DF9MrwDjXWj+CEUAeBdk3XayWdWAbfyK9dzm7KjzG+9a+U7uXPMjb8PoSWAlgG/P rPdLX1sQ =b7Nd -----END PGP SIGNATURE-----