【漏洞预警】F5 NGINX Controller API代码注入漏洞(CVE-2022-23008)
01
漏洞描述
F5公司总部设于美国华盛顿州西雅图市,并在北美、欧洲和亚太地区设有分公司。自2000年进入中国以来,F5公司已拥有百余家国内用户 ,广泛分布在电信,金融,政府,能源,教育,媒体和企业。
F5 NGINX控制器是美国F5公司的一个用于管理NGINIXPlus的自助服务、API驱动的平台,该平台可以轻松集成到CI/CD工作流中,以加快应用程序部署并简化应用程序生命周期管理。
F5 NGINX Controller API代码注入漏洞,在 NGINX 控制器 API 管理版本 3.18.0-3.19.0 上,有权访问“用户”或“管理员”角色的经过身份验证的攻击者可以使用 NGINX 控制器 API 管理上未公开的 API 端点来注入在托管 NGINX 数据上执行的 JavaScript 代码平面实例
02
漏洞危害
F5 NGINXController API代码注入漏洞,具有“user”或“admin”角色访问权限且经过身份验证的攻击者可以利用该漏洞使用NGINXController APIM上未公开的API端点向运行在受管的NGINX数据平面实例上注入可执行的恶意JavaScript代码。
03
影响范围
F5 nginxcontroller api management >=3.18.0
F5 nginxcontroller api management <3.19.1
04
漏洞等级
高危
05
修复方案
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.f5.com/csp/article/K40084114
END