F5 BIG-IP远程代码执行漏洞(CVE-2020-5902)
一、漏洞介绍
F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。Positive Technologies的研究人员Mikhail Klyuchnikov 发现其配置工具Traffic Management User Interface(TMUI)中存在远程代码执行漏洞,CVE编号为CVE-2020-5902。该漏洞CVSSv3评分为10分,攻击者可利用该漏洞创建或删除文件,关闭服务、执行任意的系统命令,最终获得服务器的完全控制权。
二、涉及版本
- 15.0.0-15.1.0.3
- 14.1.0-14.1.2.5
- 13.1.0-13.1.3.3
- 12.1.0-12.1.5.1
- 11.6.1-11.6.5.1
三、漏洞复现
1. 漏洞环境搭建
F5 BIG-IP下载地址:https://downloads.f5.com/esd/index.jsp
本次下载文件:BIGIP-14.1.2.3-0.0.5.ALL-vmware.ova
在Mac的VMWare中进行导入
导入文件: