CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-53521

RCE w F5 BIG-IP APM poprzez złośliwy ruch sieciowy (stack buffer overflow)

CVSS 9.3v4.0pub. 2025-10-15upd. 2026-04-02

Podatność w F5 BIG-IP Access Policy Manager (APM) pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu (RCE) poprzez wysłanie specjalnie spreparowanego ruchu sieciowego do wirtualnego serwera z skonfigurowaną polityką dostępu APM. Jest to podatność krytyczna (CVSS 9.3), aktywnie wykorzystywana w środowiskach produkcyjnych.

Pokaż oryginał (EN)

When a BIG-IP APM access policy is configured on a virtual server, specific malicious traffic can lead to Remote Code Execution (RCE).   Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jest jako CWE-121 (stack-based buffer overflow). Gdy na wirtualnym serwerze BIG-IP skonfigurowana jest polityka dostępu APM, specjalnie spreparowany złośliwy ruch sieciowy może przepełnić bufor na stosie, prowadząc do przejęcia kontroli nad przepływem wykonania procesu. Atak nie wymaga uwierzytelnienia, interakcji użytkownika ani szczególnych warunków wstępnych — wystarczy, że atakujący ma dostęp sieciowy do interfejsu obsługiwanego przez podatny wirtualny serwer.

Skutki

Atakujący może uzyskać zdalne wykonanie dowolnego kodu (RCE) na urządzeniu F5 BIG-IP, co w praktyce oznacza pełne przejęcie kontroli nad urządzeniem, w tym potencjalny dostęp do obsługiwanego ruchu sieciowego, danych uwierzytelniających użytkowników korzystających z APM oraz infrastruktury wewnętrznej.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z oficjalnym artykułem F5 K000156741 (https://my.f5.com/manage/s/article/K000156741). Do czasu wdrożenia poprawki należy rozważyć ograniczenie dostępu sieciowego do wirtualnych serwerów z konfiguracją APM wyłącznie do zaufanych adresów IP oraz monitorowanie anomalnego ruchu kierowanego do tych usług.

Kogo dotyczy

F5 BIG-IP Access Policy Manager (APM) — wersje wskazane w referencjach producenta (wersje objęte wsparciem technicznym); wirtualny serwer musi mieć skonfigurowaną politykę dostępu APM. Wersje, które osiągnęły koniec wsparcia technicznego (EoTS), nie są objęte oceną.

Uwagi

Podatność znajduje się w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza jej aktywne wykorzystywanie w środowiskach produkcyjnych. Producent F5 opublikował dedykowany artykuł K000156741. Administratorzy powinni potraktować tę podatność jako priorytet natychmiastowej reakcji.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • F5 Big Ip Access Policy Manager

    APP
    F5
    15.1.0 – 15.1.10.8 (bez)16.1.0 – 16.1.6.1 (bez)17.1.0 – 17.1.3 (bez)17.5.0 – 17.5.1.3 (bez)

CISA KEV — szczegółyi

Dostawcai
F5
Produkti
BIG-IP
Data dodania do KEVi
27 marca 2026
Termin remediation (USA)i
30 marca 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

F5 BIG-IP APM zawiera podatność przepełnienia buforu na stosie, która może pozwolić aktorowi zagrożenia na osiągnięcie zdalnego wykonania kodu.

tłumaczenie AI
Pokaż oryginał (EN)

F5 BIG-IP APM contains a stack-based buffer overflow vulnerability that could allow a threat actor to achieve remote code execution.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 30 marca 2026
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2023-46747CRITICAL9.8⚠ KEVten sam produkt

Undisclosed requests may bypass configuration utility authentication, allowing an attacker with network access...

CVE-2022-1388CRITICAL9.8⚠ KEVten sam produkt

On F5 BIG-IP 16.1.x versions prior to 16.1.2.2, 15.1.x versions prior to 15.1.5.1, 14.1.x versions prior to 14...

CVE-2021-22991CRITICAL9.8⚠ KEVten sam produkt

On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3....

CVE-2021-22986CRITICAL9.8⚠ KEVten sam produkt

On BIG-IP versions 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3....

CVE-2020-5902CRITICAL9.8⚠ KEVten sam produkt

In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1, th...