CVE-2026-42409 CVSS 7.5 高危

CVE-2026-42409 F5 TMM进程拒绝服务漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42409

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP

漏洞概述

CVE-2026-42409 是 F5 BIG-IP 设备中发现的一个高危安全漏洞。当设备的虚拟服务器上同时启用了 HTTP/2 配置文件，并且配置了包含 HTTP::redirect 或 HTTP::respond 命令的 iRule 时，攻击者可以通过发送特制的未公开请求触发该漏洞。此漏洞将导致流量管理微内核（TMM）进程意外终止。由于 TMM 负责处理所有数据平面的流量，其崩溃会导致服务中断，从而形成拒绝服务攻击。该漏洞利用门槛低，无需用户交互且无需身份认证即可通过网络远程触发，对设备可用性构成严重威胁。

技术细节

该漏洞的根源在于 F5 BIG-IP 的流量管理微内核（TMM）在处理特定 HTTP/2 协议流与 iRule 交互逻辑时存在缺陷。具体而言，当 HTTP/2 解析器处理特定序列的请求帧，且这些请求触发了配置中的 HTTP::redirect 或 HTTP::respond 命令时，TMM 内部可能发生空指针引用、内存访问越界或死锁等异常情况。由于攻击向量是网络（AV:N），且攻击复杂度低（AC:L），未经认证的远程攻击者（PR:N）可以向受影响的虚拟服务器发送恶意构造的数据包。一旦处理逻辑出错，TMM 进程会产生 Panic 并崩溃重启。在 TMM 重启期间，设备将无法处理新的网络连接，导致关键业务中断。需要注意的是，已停止技术支持（EoTS）的软件版本不在评估范围内。

攻击链分析

STEP 1

侦察

攻击者扫描网络，识别启用了 HTTP/2 配置文件的 F5 BIG-IP 虚拟服务器。

STEP 2

漏洞利用

攻击者向目标虚拟服务器发送特制的未公开恶意 HTTP/2 请求。

STEP 3

系统崩溃

TMM 进程在处理请求时因逻辑错误而终止。

STEP 4

拒绝服务

设备重启 TMM 进程期间，网络流量处理中断，导致服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
PoC for CVE-2026-42409 (F5 BIG-IP TMM DoS)
Note: The specific request payload is undisclosed. This script demonstrates
sending an HTTP/2 request to a target F5 device.
"""
import httpx
import sys

def check_vulnerability(target_url):
    try:
        # Use an HTTP/2 client to send the request
        with httpx.Client(http2=True, verify=False) as client:
            headers = {
                "User-Agent": "CVE-2026-42409-Research",
                "Accept": "*/*"
            }
            
            # In a real scenario, specific path/methods trigger the crash.
            # This sends a standard request to check HTTP/2 support.
            response = client.get(target_url, headers=headers, timeout=10)
            
            if response.http_version == "HTTP/2":
                print(f"[+] Target {target_url} supports HTTP/2.")
                print("[!] If iRules with HTTP::redirect/respond are active, it may be vulnerable.")
            else:
                print(f"[-] Target {target_url} does not support HTTP/2.")
                
    except Exception as e:
        print(f"Error connecting to target: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <https://target-url>")
        sys.exit(1)
    check_vulnerability(sys.argv[1])

影响范围

F5 BIG-IP (具体受影响版本请查阅官方公告 K000159034)

防御指南

临时缓解措施

建议管理员检查虚拟服务器配置，暂时禁用 HTTP/2 配置文件，或者调整 iRule 逻辑以避免在 HTTP/2 连接中使用 HTTP::redirect 和 HTTP::respond 命令，直至应用官方安全补丁。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-42409
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-42409
3 Details https://www.cvedetails.com/cve/CVE-2026-42409/
4 VulDB https://vuldb.com/cve/CVE-2026-42409
5 Link https://my.f5.com/manage/s/article/K000159034

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表