Katalog CVE

CVE-2026-28758

ŚrednieCVSS 4.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.08%

Percentyl 0 - wyżej niż 0% wszystkich znanych CVE

Streszczenie

W przypadku skonfigurowania BIG-IP DNS, podatność w poleceniach iControl REST gtm_add i bigip_add powoduje zwracanie parametru ssh-password w postaci jawnego tekstu w odpowiedzi REST oraz zapisywanie go w logu audytu. Umożliwia to wysoko uprzywilejowanemu, uwierzytelnionemu atakującemu z dostępem do logu audytu odczytanie poufnych informacji.

Ocena ryzyka

Organizacja narażona jest na wyciek haseł SSH, co może prowadzić do nieautoryzowanego dostępu do zarządzanych systemów i eskalacji uprawnień w infrastrukturze.

Rekomendacja

Zaleca się natychmiastowe zastosowanie poprawek bezpieczeństwa dostarczonych przez producenta oraz ograniczenie dostępu do logów audytu wyłącznie dla zaufanych administratorów.

Oryginalny opis (angielski, źródło NVD)

When BIG-IP DNS is provisioned, a vulnerability exists in the gtm_add and bigip_add iControl REST commands that return the ssh-password parameter in cleartext in the iControl REST response and is also logged in the audit log. This may allow a highly privileged, authenticated attacker with access to the audit log to view sensitive information.  Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS