CVE-2026-39455 CVSS 7.5 高危

CVE-2026-39455 F5 BIG-IP LDAP认证拒绝服务漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39455

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP

漏洞概述

F5 BIG-IP配置实用程序在使用LDAP认证时存在漏洞。攻击者可通过发送特定的未公开恶意流量，导致httpd进程耗尽系统文件描述符，从而造成拒绝服务，严重影响系统可用性。

技术细节

该漏洞源于F5 BIG-IP配置实用程序（基于Apache httpd）在处理LDAP身份验证请求时的逻辑缺陷。当配置实用程序启用LDAP认证时，攻击者无需身份认证即可通过网络发送特制的未公开恶意数据包。这种数据包会触发httpd进程中的异常处理机制，导致进程无法正确释放或过度占用文件描述符。由于操作系统的文件描述符数量有限，一旦耗尽，httpd进程将无法接受新的连接或处理请求，从而导致服务不可用，形成拒绝服务攻击（DoS）。

攻击链分析

STEP 1

侦察

攻击者扫描网络，识别出使用LDAP认证且暴露在互联网上的F5 BIG-IP配置实用程序接口。

STEP 2

漏洞利用

攻击者向目标BIG-IP设备的httpd服务发送特制的未公开恶意数据包序列，无需用户认证。

STEP 3

资源耗尽

恶意数据包触发httpd进程的异常，导致其迅速占满所有可用的文件描述符。

STEP 4

拒绝服务

由于文件描述符耗尽，httpd进程无法处理新的HTTP请求，导致配置实用程序不可用，造成管理中断。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# This is a conceptual PoC. The specific traffic pattern is undisclosed.
# This script demonstrates how one might attempt to target the login endpoint.

target_url = "https://<TARGET_IP>/mgmt/shared/authn/login"
headers = {
    "Content-Type": "application/json"
}

# Sending a high volume of requests to simulate the potential trigger
# Note: Actual exploitation requires specific undisclosed payloads.
for i in range(1000):
    try:
        response = requests.post(target_url, headers=headers, timeout=1)
        print(f"Request {i} sent: Status {response.status_code}")
    except Exception as e:
        print(f"Request {i} failed: {e}")

影响范围

F5 BIG-IP (具体受影响版本请参考官方公告 K000160874)

防御指南

临时缓解措施

建议暂时禁用LDAP认证功能，改用本地认证或其他机制；或者通过网络访问控制列表（ACL）限制对BIG-IP配置实用程序（端口443/TCP）的访问，仅允许可信的管理IP进行连接。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-39455
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-39455
3 Details https://www.cvedetails.com/cve/CVE-2026-39455/
4 VulDB https://vuldb.com/cve/CVE-2026-39455
5 Link https://my.f5.com/manage/s/article/K000160874

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表