Die Schwachstelle betrifft die iControl-REST-Schnittstelle, wenn das Gerät im sogenannten Appliance-Modus betrieben wird. In diesem Modus lässt sich über einen bestimmten REST-Endpunkt eine Befehlsinjektion auslösen: Ein Angreifer, der bereits über gültige Zugangsdaten verfügt, kann aus der Ferne eigene Betriebssystembefehle einschleusen und zur Ausführung bringen. Dadurch gelingt es ihm, eine Sicherheitsgrenze zu überwinden – also Beschränkungen zu durchbrechen, die im Appliance-Modus gerade verhindern sollen, dass angemeldete Nutzer über ihre eigentlichen Rechte hinaus auf das zugrunde liegende System zugreifen. Der Angriff setzt eine vorherige Authentifizierung voraus, ist also nicht anonym möglich, benötigt aber keinen direkten physischen Zugang. Betroffen ist der administrative Verwaltungspfad des Geräts über die REST-Programmierschnittstelle.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel F5 schließt mehr als 50 Schwachstellen in BIG-IP, BIG-IQ und NGINX 14.05.2026