0x01 產品簡介

BIG-IP Next Central Manager是BIG-IP Next的原生默認用戶界面，它可跨平臺管理BIG-IP Next實例。BIG-IP Next是F5 Networks公司推出的一款下一代BIG-IP軟件，提供了多云應用安全和應用交付服務。

0x02 漏洞概述

CVE-2024-26026：BIG-IP Next Central Manager SQL注入漏洞

BIG-IP Next Central Manager 版本20.0.1 - 20.1.0的API (URI) 中存在SQL 注入漏洞，未經身份驗證的威脅者可將惡意SQL查詢注入數據庫查詢的輸入字段或參數中，從而可能導致未授權訪問、數據泄露和系統接管等。

CVE-2024-21793：BIG-IP Next Central Manager OData 注入漏洞

當啟用 LDAP時，BIG-IP Next Central Manager 版本20.0.1 - 20.1.0的API (URI) 中存在OData 注入漏洞，該漏洞存在于Central Manager 處理 OData 查詢的方式中，可能導致未經身份驗證的威脅者注入OData 查詢過濾器參數，從而獲取敏感信息，如管理員密碼哈希等。

0x03 影響范圍

BIG-IP Next Central Manager 20.x ：20.0.1 - 20.1.0

0x04 復現環境

FOFA：title=="BIG-IP Next | Central Manager"