关键信息总结 漏洞概述 漏洞编号: CVE-2025-46265 标题: F5OS vulnerability CVE-2025-46265 发布日期: 2025年5月7日 更新日期: 2025年5月7日 影响范围 受影响产品: - BIG-IP Next (所有模块) - BIG-IP Centralized Management - BIG-IP Distributed Cloud 和 NINIX Services - F5OS-A 和 F5OS-C 漏洞描述 类型: 不正确的授权漏洞 描述: 远程认证用户(如LDAP、RADIUS、TACACS+)可能被授予更高的F5OS角色权限。 影响 潜在风险: 远程认证攻击者可能意外获得更高特权(例如:F5OS管理员角色),这是一个控制平面问题,没有数据平面暴露。 安全建议状态 CVE分类: CWE-863 Incorrect Authorization 已评估的产品 BIG-IP Next: 所有版本均不受影响。 BIG-IP Centralized Management: 所有版本均不受影响。 BIG-IP Distributed Cloud 和 NINIX Services: 所有服务均不受影响。 F5OS-A 和 F5OS-C: 版本1.5.1和1.6.0-1.6.2受到影响。 CVSS评分 F5OS-A: - 1.5.1: CVSS v3.0评分8.0, CVSS v4.0评分9.0 - 1.5.2: CVSS v3.0评分8.7, CVSS v4.0评分9.7 F5OS-C: - 1.6.0-1.6.2: CVSS v3.0评分8.0, CVSS v4.0评分9.0 - 1.6.0-1.6.2: CVSS v3.0评分8.7, CVSS v4.0评分9.7 推荐措施 升级或安装补丁: 如果运行的版本在“已知易受攻击的版本”列中,可以通过安装“引入修复的补丁”列中的补丁来消除漏洞。 远程身份验证目录本身: 不要为任何组分配F5OS定义的GID(如9000、9001等)。 其他信息 发现者: 由F5内部发现。 ``` 这些关键信息提供了关于漏洞的基本情况、影响范围、严重程度以及推荐的缓解措施。