CVE-2026-40435CVE-2026-40435 是一个存在于 F5 BIG-IP httpd 服务中的安全绕过漏洞。当系统配置了基于 IP 的访问限制时,该限制未能覆盖所有的 httpd 端点。攻击者可以利用这一缺陷,绕过预设的 IP 黑名单或白名单限制,从原本被阻止的 IP 地址建立连接并访问受保护的资源。该漏洞主要影响配置了严格访问控制策略的 F5 设备,可能导致未授权的网络访问,破坏系统的安全边界,造成敏感信息泄露风险。需要注意的是,已停止技术支持(EoTS)的软件版本不在评估范围内。
该漏洞的核心在于 F5 BIG-IP 系统中 httpd 服务组件的访问控制实现逻辑存在缺陷。在 F5 BIG-IP 的配置中,管理员通常会利用 httpd 的配置文件或管理界面设置基于 IP 地址的访问控制列表(ACL),旨在限制只有信任的 IP 才能访问敏感的管理接口或 API 端点。然而,CVE-2026-40435 表明,这种 IP 限制机制并未在 httpd 服务的所有端点上生效。具体来说,某些特定的端点或路径在配置解析或请求处理阶段被遗漏了 IP 校验步骤。当攻击者从被封锁的 IP 地址发起请求时,如果请求针对的是这些未被覆盖的端点,httpd 服务将直接处理该请求而不检查源 IP 的合法性。由于该漏洞的攻击向量为网络(AV:N),且无需认证(PR:N)和用户交互(UI:N),攻击门槛较低。攻击者只需扫描目标 F5 设备,寻找这些特殊的端点,即便其 IP 位于全局黑名单中,仍能成功获取响应。