CVE-2026-41956 CVSS 7.5 高危

CVE-2026-41956 F5 BIG-IP TMM拒绝服务漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41956

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP

漏洞概述

该漏洞存在于F5 BIG-IP产品的流量管理微内核（TMM）中。当管理员在UDP虚拟服务器上配置了分类配置文件时，攻击者可以通过发送特制的未披露请求，触发TMM处理逻辑中的错误，从而导致进程异常终止。由于TMM负责处理设备的所有网络流量，其崩溃会导致服务中断，形成拒绝服务条件。该漏洞利用复杂度低，无需用户交互且无需认证，通过网络即可远程触发。

技术细节

漏洞的根本原因在于TMM组件在处理特定配置下的UDP数据包时存在边界检查或逻辑处理缺陷。具体而言，当UDP虚拟服务器启用了分类配置文件（用于深度包检测或流量分类）时，TMM在解析某些特定格式的UDP请求或数据流时会进入无效状态。攻击者可以构造包含特殊字节序列的UDP数据包发送至受影响设备。由于CVSS向量显示攻击路径为网络（AV:N），且无需认证（PR:N），攻击者只需能够路由到目标设备的UDP虚拟服务器端口即可发起攻击。成功利用后，TMM进程崩溃，虽然F5的守护进程通常会尝试重启TMM，但持续的攻击可导致持续的服务不可用（A:H），严重影响机密性和完整性之外的可用性。

攻击链分析

STEP 1

侦察

攻击者扫描网络，识别F5 BIG-IP设备，并确定其上配置了UDP虚拟服务器且启用了分类配置文件。

STEP 2

武器化

攻击者构造特殊的UDP数据包，该数据包包含能够触发TMM解析错误的特定字段或序列。

STEP 3

传递

攻击者通过网络将特制UDP数据包发送到目标设备的UDP虚拟服务器端口。

STEP 4

利用

TMM处理该恶意数据包时发生逻辑错误，导致异常终止。

STEP 5

影响

TMM崩溃导致网络流量处理中断，造成拒绝服务，设备可能短暂失去网络功能。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket

# Conceptual Proof of Concept for CVE-2026-41956
# Note: The specific 'undisclosed request' payload is not public.
# This script demonstrates how to send a UDP packet to the target.

TARGET_IP = "192.168.1.100"
TARGET_PORT = 53 # Example: DNS port running on UDP VS with Classification Profile

# Placeholder payload. The actual trigger bytes are unknown/undisclosed.
# Attackers would need to reverse engineer the TMM binary to find the crash.
payload = b"\x00\x00\x00\x00" 

def send_exploit():
    print(f"[*] Sending UDP packet to {TARGET_IP}:{TARGET_PORT}...")
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
        sock.sendto(payload, (TARGET_IP, TARGET_PORT))
        print("[+] Packet sent. Check TMM status for crash.")
    except Exception as e:
        print(f"[-] Error sending packet: {e}")
    finally:
        sock.close()

if __name__ == "__main__":
    send_exploit()

影响范围

具体受影响版本请参考F5官方安全公告K000158038

防御指南

临时缓解措施

在未应用补丁之前，建议管理员暂时从UDP虚拟服务器配置中移除分类配置文件，或者通过网络防火墙/ACL限制对受影响UDP端口的访问，仅允许可信的IP地址连接。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-41956
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-41956
3 Details https://www.cvedetails.com/cve/CVE-2026-41956/
4 VulDB https://vuldb.com/cve/CVE-2026-41956
5 Link https://my.f5.com/manage/s/article/K000158038

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表