Se ha identificado una vulnerabilidad en un componente de terceros en los productos F5. Un actor malicioso remoto podría explotarla para provocar una condición de denegación de servicio en el sistema objetivo.
Productos afectados
- BIG-IP
- 15.1.0 – 15.1.10
- 16.1.0 – 16.1.6
- 17.1.0 – 17.1.2
- 17.5.0 – 17.5.1
- Traffix SDC
- 5.2.0
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-48976: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de asignación de recursos para encabezados multiparte con límites insuficientes, lo que podría permitir la denegación de servicio en Apache Commons FileUpload. Un actor malicioso remoto podría explotar esta vulnerabilidad enviando una solicitud especialmente diseñada con un número excesivo de encabezados multiparte. Esta entrada maliciosa puede provocar un consumo descontrolado de memoria en las aplicaciones que usan la biblioteca, agotando los recursos del sistema y provocar una denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante. Algunos productos podrían no contar aún con actualización, por lo que se deben aplicar las mitigaciones proporcionadas por el proveedor.
Referencias
- https://my.f5.com/manage/s/article/K000152614
- https://nvd.nist.gov/vuln/detail/CVE-2025-48976