云安全日报201218：负载均衡厂商F5 BIG-IP发现跨站

F5(F5 Netorks)是全球领先的应用交付网络（ADN）领域的厂商。12月17日,F5 BIG-IP(负载均衡器)发现XSS(跨站脚本攻击)漏洞，需要尽快升级。以下是漏洞详情

漏洞详情

来源https://support.f5./csp/article/K19166530

CVE-2020-27719 CVSSv3评分7.5 高

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。

攻击者可以利用此漏洞在当前登录用户的上下文中运行JavaScript,发起XSS攻击。具有成功利用此漏洞的高级外壳（bash）访问权限的管理用户可以通过远程执行代码来完全破坏BIG-IP系统。

受影响产品及版本

BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)以下版本受到影响

16.0.0版本,

15.0.0 - 15.1.0版本,

14.1.0 - 14.1.3版本

解决方案

BIG-IP (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO) :

16.0.0升级16.0.1版本,

15.0.0 - 15.1.0升级15.1.1版本,

14.1.0 - 14.1.3升级14.1.3.1版本

查看更多漏洞信息 以及升级请访问官网

https://support.f5./csp/bug-tracker