F5

F5 週三宣布修復了影響 BIG-IP、BIG-IQ 和 NGINX 的 19 個高風險漏洞和 32 個中度危險漏洞。根據 CVSS 評分，已解決的問題中最嚴重的是 CVE-2026-42945（CVSS v4.0 評分為 9.2），這是 NGINX 的ngx_http_rewrite_module模組中的拒絕服務 (DoS) 漏洞。

該漏洞允許未經身份驗證的攻擊者發送精心建構的 HTTP 請求，這些請求與攻擊者無法控制的某些條件相結合，可能觸發堆緩衝區溢位並導致系統重新啟動。如果位址空間佈局隨機化 (ASLR) 被停用，則該漏洞可被利用來執行程式碼。

接下來是 CVE-2026-41225（CVSS v4.0 評分為 8.6），這是 iControl REST 中的漏洞，可能允許至少具有 Manager 權限的已認證攻擊者建立配置對象，從而導致命令執行。F5解釋說：“此漏洞可能允許具有高權限的攻擊者透過BIG-IP管理連接埠或自身IP位址存取受影響的iControl REST端點，從而提升其權限或繞過設備模式限制。在設備模式部署中，成功利用此漏洞可能允許攻擊者跨越安全邊界。此漏洞不涉及資料平面，僅存在於控制平面。”

週三，該公司還宣布修復了 BIG-IP 中需要身份驗證的高風險遠端程式碼執行 (RCE) 和遠端命令注入漏洞 (CVE-2026-41957、CVE-2026-34176、CVE-2026-39459)。

在剩餘的高嚴重性缺陷中，一個缺陷可能導致繞過限制，另一個缺陷可能導致任意檔案篡改，還有 12 個缺陷可能導致拒絕服務 (DoS) 情況，主要是透過導致流量管理微內核 (TMM) 終止。F5 本週解決的中度嚴重性問題可能導致安全保護繞過、權限提升、資訊外洩、任意系統命令執行、拒絕服務攻擊、程式碼注入和任意本地檔案篡改。

資料來源：https://www.securityweek.com/f5-patches-over-50-vulnerabilities/