Vulnerabilidades en productos F5

21/10/2025 Noticias 0

Se han descubierto vulnerabilidades de severidad alta en productos F5. Un actor malicioso podría ejecutar código arbitrario, escalar privilegios o causar denegación de servicio.

Productos afectados

  • BIG-IP: desde la versión 15.1.0 hasta la 17.5.1
  • BIG-IP Advanced WAF/ASM: desde la versión 15.1.0 hasta la 17.5.1
  • BIG-IP Next SPK: desde la versión 1.7.0 hasta la 2.0.2
  • BIG-IP Next CNF: desde la versión 1.1.0 hasta la 2.1.0
  • BIG-IP Next for Kubernetes: desde la versión 2.0.0 hasta la 2.1.0
  • BIG-IP SSL Orchestrator: desde la versión 15.1.0 hasta la 17.5.0
  • BIG-IP ASM: desde la versión 16.1.0 hasta la 17.1.2
  • BIG-IP AFM: desde la versión 15.1.0 hasta la 17.5.0
  • BIG-IP APM: desde la versión 15.1.0 hasta la 17.5.1
  • BIG-IP PEM: desde la versión 15.1.0 hasta la 17.5.0
  • F5OS-A: versión 1.8.0 y de la 1.5.1 a la 1.5.2
  • F5OS-C: desde la versión 1.6.0 a la 1.8.1

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2025-61955: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de escalación de privilegios en F5OS-A y F5OS-C en modo Appliance. Un actor malicioso con acceso autenticado local podría obtener privilegios elevados cruzando límites de seguridad establecidos por el modo Appliance.

CVE-2025-57780: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de escalación de privilegios en F5OS-A y F5OS-C en modo Appliance. Un actor malicioso con acceso autenticado local podría obtener privilegios elevados y comprometer el sistema atravesando límites de seguridad.

CVE-2025-53868: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad de omisión de restricciones en Big-IP SCP/SFTP, que podría permitir a un actor malicioso autenticado con privilegios elevados eludir las restricciones del modo Appliance mediante comandos no divulgados.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

  • https://www.cve.org/CVERecord?id=CVE-2025-61955
  • https://www.cve.org/CVERecord?id=CVE-2025-57780
  • https://www.cve.org/CVERecord?id=CVE-2025-53868
  • https://my.f5.com/manage/s/article/K000154696