F5 解决了 BIG-IP 和 BIG-IQ 企业产品中的两个漏洞，分别跟踪为 CVE-2024-45844 和 CVE-2024-47139。

拥有经理角色或更高权限的经过验证的攻击者可利用 CVE-2024-45844 漏洞提升权限并入侵 BIG-IP 系统。

“此漏洞可能允许具有经理角色权限或更高权限、可访问配置实用程序或 TMOS Shell (tmsh) 的经过验证的攻击者提升权限并控制 BIG-IP 系统。该公告称：”没有数据平面漏洞；这只是一个控制平面问题。

该公司发布的 17.1.1.4、16.1.5 和 15.1.10.5 版本解决了这一漏洞。

为缓解这一问题，企业应将对 BIG-IP 配置实用程序和 SSH 的访问限制在受信任的网络或设备上，并阻止通过自 IP 地址的访问。

该公告还指出：“由于这种攻击是由经过验证的合法用户实施的，因此没有可行的缓解措施允许用户通过 SSH 访问配置实用程序或命令行。唯一的缓解措施是取消不完全受信任用户的访问权限。在安装固定版本之前，可以使用以下部分作为临时缓解措施。这些缓解措施将通过 SSH 对 BIG-IP 配置实用程序和命令行的访问限制在仅受信任的网络或设备，从而限制了攻击面。”

• 阻止通过管理界面访问配置实用程序和 SSH。
• 阻止通过自身 IP 地址访问配置实用程序和 SSH

该公司解决的第二个问题是一个存储的跨站脚本 (XSS) 漏洞（跟踪编号为 CVE-2024-47139），它会影响 BIG-IQ 漏洞。拥有管理员权限的攻击者可以利用这个漏洞，以当前登录用户的身份运行 JavaScript。

“经过验证的攻击者可通过在 BIG-IQ 用户界面中存储恶意 HTML 或 JavaScript 代码来利用此漏洞。如果攻击成功，攻击者就可以在当前登录用户的上下文中运行 JavaScript。”公告中写道，“如果是拥有高级 Shell (bash) 访问权限的管理用户，攻击者可以利用成功利用此漏洞来入侵 BIG-IP 系统。这是一个控制平面问题，不存在数据平面漏洞。”

BIG-IQ 集中管理版本 8.2.0.1 和 8.3.0 解决了这一漏洞。

为减少漏洞，用户应在使用 BIG-IQ 界面后注销并关闭浏览器，并使用单独的浏览器进行管理。目前还没有已知的漏洞利用方法。

目前还不清楚这些漏洞是否已在野外被利用。