Nová kritická zranitelnost v CISA KEV katalogu – RCE v F5 BIG-IP APM
CISA přidala 27. března 2026 do katalogu aktivně zneužívaných zranitelností CVE-2025-53521 – kritickou chybu v komponentě Access Policy Manager (APM) systému F5 BIG-IP.
Zranitelnost umožňuje vzdálené spuštění kódu bez autentizace (unauthenticated RCE). Postihuje systémy, na kterých je nakonfigurována přístupová politika APM. Útočník může speciálně vytvořeným síťovým provozem dosáhnout spuštění libovolného kódu na zařízení. Chyba se nachází v procesu apmd a týká se datové roviny (ne řídicí).
CVSS skóre: 9,8 (v3.1) / 9,3 (v4.0)
Ovlivněné verze:
- 17.5.0 – 17.5.1
- 17.1.0 – 17.1.2
- 16.1.0 – 16.1.6
- 15.1.0 – 15.1.10
F5 vydal opravy v buildách 17.5.1.3, 17.1.3, 16.1.6.1 a 15.1.10.8. Útočníci aktivně skenují zranitelná zařízení, proto se doporučuje okamžitá aktualizace.
Dočasné zmírnění (pokud nelze hned patchovat): Omezit přístup k APM virtuálním serverům pouze z důvěryhodných sítí a monitorovat neobvyklý provoz.
Další články
Belgický dozorový úřad uložil pokutu 120 000 eur za záměnu role správce a zpracovatele osobních údajů
Nové zranitelnosti v katalogu CISA KEV – vydání 21, druhá dávka
