CVE-2026-32643 BIG-IP和BIG-IQ任意命令执行漏洞

漏洞信息

漏洞编号

CVE-2026-32643

漏洞类型

远程代码执行

CVSS评分

8.7 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

BIG-IP, BIG-IQ

漏洞概述

F5 BIG-IP和BIG-IQ系统中存在一个高危安全漏洞。拥有Certificate Manager角色或更高权限的经过身份验证的攻击者，能够通过修改特定的配置对象，在系统上执行任意命令。该漏洞源于配置管理的权限控制缺陷，攻击者无需用户交互即可通过网络发起攻击。成功利用此漏洞可能导致攻击者完全控制设备，造成高机密性和完整性影响，严重威胁企业网络安全。

技术细节

该漏洞位于BIG-IP和BIG-IQ系统的配置管理模块中。由于系统对特定配置对象的权限校验逻辑存在缺陷，拥有Certificate Manager角色的攻击者虽然不是超级管理员，但被赋予了过高的修改权限。攻击者可以通过发送特制的HTTP请求（通常是REST API调用或TMUI界面操作），篡改与证书管理或系统配置相关的特定对象。在修改过程中，攻击者可以注入恶意的系统命令或利用配置对象的解析机制，触发命令执行。由于攻击向量为网络（AV:N）且范围改变（S:C），攻击者一旦利用成功，不仅可以在当前管理会话中执行命令，还可能影响底层操作系统或其他管理域，从而获得对设备的非授权控制。值得注意的是，该漏洞需要高权限账号才能利用，降低了被未授权外部攻击者直接利用的风险，但内部威胁或已获得低权限账号的攻击者提权后危害极大。

攻击链分析

STEP 1

侦察与访问

攻击者获取BIG-IP或BIG-IQ系统的网络访问权限，并拥有至少Certificate Manager角色的有效凭证。

STEP 2

漏洞利用

攻击者利用高权限身份，通过管理接口（API或Web界面）修改特定的配置对象，注入恶意命令。

STEP 3

命令执行

系统在处理被修改的配置对象时，解析并执行了攻击者注入的任意系统命令。

STEP 4

控制与维持

攻击者利用执行命令的权限，进一步控制服务器，窃取数据或建立后门。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Conceptual PoC for CVE-2026-32643
# This script demonstrates how an authenticated attacker with 'Certificate Manager' role
# might trigger arbitrary command execution via configuration modification.

import requests

TARGET_URL = "https://<big-ip-ip>/mgmt/tm/..."
TOKEN = "<authenticated_token>" # Requires valid session with high privileges

headers = {
    "X-F5-Auth-Token": TOKEN,
    "Content-Type": "application/json"
}

# Malicious payload aiming to execute a command (e.g., creating a file or reverse shell)
# The actual JSON structure depends on the vulnerable configuration object.
malicious_payload = {
    "name": "vulnerable_config",
    "command": "id; /bin/bash", # Placeholder for command injection
    "options": {
        "runCmd": "/bin/sh"
    }
}

try:
    response = requests.post(TARGET_URL, json=malicious_payload, headers=headers, verify=False)
    if response.status_code == 200:
        print("[+] Potential command execution triggered.")
        print(f"[+] Response: {response.text}")
    else:
        print(f"[-] Failed with status code: {response.status_code}")
except Exception as e:
    print(f"[-] Error: {e}")

影响范围

所有受技术支持（未达到EoTS）的BIG-IP版本

所有受技术支持（未达到EoTS）的BIG-IQ版本

防御指南

临时缓解措施

在无法立即安装补丁的情况下，建议严格限制对BIG-IP和BIG-IQ管理界面的访问，仅允许可信网络或通过VPN访问。同时，应立即审查所有拥有Certificate Manager及以上权限的账号，移除不必要的权限，并密切监控系统日志中是否存在异常的配置对象修改活动。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-32643
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-32643
3 Details https://www.cvedetails.com/cve/CVE-2026-32643/
4 VulDB https://vuldb.com/cve/CVE-2026-32643
5 Link https://my.f5.com/manage/s/article/K000160972