Se encontraron 12 vulnerabilidades, incluidas 11 de severidad alta, en los productos de F5. Estas, si se explotan, podrían permitir a un actor malicioso la denegación de servicio, omisión de funciones de seguridad, escalada de privilegios y la ejecución de código arbitrario.
Productos afectados
F5
- BIG-IP, de la versión 17.1.0 a la 17.1.2
- BIG-IP, de la versión 16.1.0 a la 16.1.5
- BIG-IP, de la versión 15.1.0 a la 15.1.10
- BIG-IP Next, de la versión 20.2.0 a la 20.2.1
- BIG-IP Next SPK, de la versión 1.7.0 a la 1.9.2
- BIG-IP Next CNF, de la versión 1.1.0 a la 1.4.1
- F5OS-A, de la versión 1.5.1 a la 1.5.2
- F5OS-C, de la versión 1.6.0 a la 1.6.2
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-46265: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de autorización incorrecta, donde usuarios autenticados remotamente (LDAP, RADIUS, TACACS+) pueden ser autorizados con roles de F5OS con mayores privilegios.
CVE-2025-31644: con una puntuación de 8.7 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos en iControl REST y BIG-IP TMOS Shell (tmsh), que podría permitir que un actor malicioso autenticado con privilegios de administrador ejecute comandos arbitrarios del sistema.
CVE-2025-36546: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad en el sistema F5OS. Si el usuario root configuró previamente el sistema para permitir el inicio de sesión mediante autenticación basada en clave SSH y luego activó el modo de dispositivo, el acceso mediante autenticación basada en clave SSH seguirá permitido.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://www.cve.org/CVERecord?id=CVE-2025-36546
https://my.f5.com/manage/s/article/K000151008?utm_source=f5support&utm_medium=RSS
https://www.cve.org/CVERecord?id=CVE-2025-46265
https://www.cve.org/CVERecord?id=CVE-2025-31644