F5 schließt mehr als 50 Schwachstellen in BIG-IP, BIG-IQ und NGINX

Zusammenfassung

F5 hat in seinem aktuellen Quartals-Advisory Korrekturen für mehr als 50 Sicherheitslücken in den Produkten BIG-IP, BIG-IQ und NGINX veröffentlicht. Wie das Unternehmen mitteilte, betreffen die Fehler 19 hochgradig und 32 mittelgradig eingestufte Schwachstellen. Die nach CVSS-Wertung gefährlichste Lücke ist CVE-2026-42945 mit einem CVSS-v4.0-Wert von 9,2: ein Denial-of-Service-Problem im Modul ngx_http_rewrite_module von NGINX. Über speziell präparierte HTTP-Anfragen kann ein nicht authentifizierter Angreifer unter bestimmten, nicht von ihm kontrollierbaren Bedingungen einen Heap-Pufferüberlauf und einen Neustart auslösen; ist die Adressraum-Verwürfelung (ASLR) deaktiviert, lässt sich die Lücke sogar zur Codeausführung missbrauchen. Daneben behob F5 mehrere Schwachstellen in BIG-IP, die eine Authentifizierung voraussetzen und zu entfernter Codeausführung oder Befehlsinjektion führen können. Nach Angaben von F5 wurde bislang keine der Lücken in freier Wildbahn ausgenutzt. Weitere Einzelheiten nennt das Unternehmen in seiner quartalsweisen Sicherheitsmitteilung.

Mit dem jüngsten Quartals-Advisory adressiert F5 insgesamt mehr als 19 hochgradige und 32 mittelgradige Schwachstellen in BIG-IP, BIG-IQ und NGINX.

Als schwerwiegendste Lücke gilt nach CVSS-Wertung CVE-2026-42945 (CVSS v4.0: 9,2), ein Denial-of-Service-Zustand im NGINX-Modul ngx_http_rewrite_module. Ein nicht authentifizierter Angreifer kann durch präparierte HTTP-Anfragen, kombiniert mit bestimmten Bedingungen außerhalb seiner Kontrolle, einen Heap-Pufferüberlauf und damit einen Neustart auslösen. Ist ASLR (Address Space Layout Randomization) deaktiviert, lässt sich der Fehler zur Ausführung von Code ausnutzen.

An zweiter Stelle steht CVE-2026-41225 (CVSS v4.0: 8,6), eine Schwäche in iControl REST. Ein authentifizierter Angreifer mit mindestens Manager-Rechten kann darüber Konfigurationsobjekte anlegen und so Befehle ausführen. Laut F5 ermöglicht die Lücke einem hochprivilegierten Angreifer mit Netzwerkzugriff auf den betroffenen iControl-REST-Endpunkt über den BIG-IP-Verwaltungsport oder Self-IP-Adressen, seine Rechte auszuweiten oder Beschränkungen des Appliance-Modus zu umgehen. In Appliance-Modus-Installationen könne ein erfolgreicher Angriff eine Sicherheitsgrenze überwinden. F5 betont, es gebe keine Exposition auf der Datenebene; es handle sich ausschließlich um ein Problem der Steuerungsebene.

Ebenfalls behoben wurden hochgradige Schwachstellen in BIG-IP, die entfernte Codeausführung beziehungsweise Befehlsinjektion erlauben und eine Authentifizierung voraussetzen (CVE-2026-41957, CVE-2026-34176, CVE-2026-39459).

Von den übrigen hochgradigen Lücken führt eine zum Umgehen von Beschränkungen, eine weitere zur unbefugten Veränderung von Dateien und zwölf zu Denial-of-Service-Zuständen — vor allem dadurch, dass der Traffic Management Microkernel (TMM) beendet wird.

Die mittelgradig eingestuften Probleme können laut F5 unter anderem zum Umgehen von Schutzmechanismen, zur Rechteausweitung, zur Offenlegung von Informationen, zur Ausführung beliebiger Systembefehle, zu Denial-of-Service-Zuständen, zur Codeinjektion sowie zur unbefugten Veränderung lokaler Dateien führen.

Nach Einschätzung von F5 wurde bisher keine der Schwachstellen aktiv ausgenutzt. Weitere Informationen stellt das Unternehmen in seiner quartalsweisen Sicherheitsmitteilung bereit.

F5 schließt mehr als 50 Schwachstellen in BIG-IP, BIG-IQ und NGINX

Ähnliche Artikel

Neueste Artikel