Die Schwachstelle betrifft die Verwaltungsschnittstellen iControl REST und die TMOS-Shell (tmsh). Über sie lässt sich eine Rechteausweitung durch Konfigurationsmanipulation erreichen: Ein bereits angemeldeter Angreifer, der mindestens über die Manager-Rolle und damit über weitreichende Verwaltungsrechte verfügt, kann Konfigurationsobjekte anlegen, die das Ausführen beliebiger Befehle erlauben. Auf diese Weise verwandelt der Angreifer legitime Administrationsfunktionen in ein Werkzeug zur Befehlsausführung und kann die vorgesehenen Grenzen seiner Rolle überschreiten. Voraussetzung ist ein gültiges, hoch privilegiertes Konto – die Lücke ist also kein anonymer Fernzugriff, sondern setzt vorhandene Verwaltungsrechte voraus. Gefährlich ist sie vor allem dort, wo mehrere Personen administrativen Zugang teilen oder ein solches Konto kompromittiert wird, da sich daraus die Ausführung eigener Befehle auf dem System ergibt.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel F5 schließt mehr als 50 Schwachstellen in BIG-IP, BIG-IQ und NGINX 14.05.2026