Die Schwachstelle betrifft die REST-Programmierschnittstelle iControl. Der Defekt liegt in der Verwaltung von Konfigurationsobjekten: Ein bereits angemeldeter Angreifer mit weitreichenden Rechten – mindestens der Manager-Rolle – kann Konfigurationsobjekte so anlegen, dass darüber beliebige Systembefehle ausgeführt werden. Aus einer eigentlich auf Konfiguration beschränkten Berechtigung wird auf diese Weise die Möglichkeit, eigenen Code auf dem System laufen zu lassen. Voraussetzung ist ein vorhandenes, hoch privilegiertes Konto; ohne Anmeldung lässt sich die Lücke nicht ausnutzen. Kritisch ist sie dort, wo mehrere Verwaltungskonten mit Manager-Rolle existieren oder solche Zugangsdaten in falsche Hände geraten, denn ein Angreifer kann damit die Grenze zwischen bloßer Verwaltung und vollständiger Kommandoausführung überschreiten und so die Kontrolle über das betroffene System ausweiten.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel F5 schließt mehr als 50 Schwachstellen in BIG-IP, BIG-IQ und NGINX 14.05.2026