CVE-2020-5902 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:F5 BIG-IP TMUI(配置工具)存在**路径遍历**漏洞。 💥 **后果**:攻击者可实现**远程代码执行 (RCE)**,完全入侵系统,执行任意命令或Java代码。
Q2根本原因?(CWE/缺陷点)
🔍 **缺陷点**:TMUI 中未受保护的页面存在**目录遍历**缺陷。 ⚠️ **CWE**:数据未提供具体 CWE ID,但核心是路径遍历导致文件读取/命令执行。
Q3影响谁?(版本/组件)
📦 **受影响组件**:F5 BIG-IP 应用交付平台。 📅 **高危版本**: - 15.1.0, 15.0.0 - 14.1.0 ~ 14.1.2 - 13.1.0 ~ 13.1.3 - 12.1.0 ~ 12.1.5 - 11.6.1 ~ 11.6.5
Q4黑客能干啥?(权限/数据)
👮 **黑客权限**:拥有**系统级权限**。 📂 **具体能力**: - 执行任意系统命令 - 创建/删除任意文件 - 关闭服务 - 执行任意 Java 代码 - 读取敏感文件(如 /etc/passwd)
Q5利用门槛高吗?(认证/配置)
🚪 **利用门槛**:**低**。 🌐 **认证要求**:利用的是 TMUI 中**未披露的页面**,通常无需认证或绕过认证即可触发路径遍历。 📝 **注意**:部分绕过技巧(如 hsqldb)可能涉及特定配置,但基础 RCE 利用链已公开。
Q6有现成Exp吗?(PoC/在野利用)
💣 **现成 Exp**:**有**。 🔗 **PoC 链接**:GitHub 上已有多个 PoC(如 dwisiswant0, jas502n, yassineaboukir 等仓库)。 🌍 **在野利用**:数据未明确提及,但 PoC 公开意味着自动化扫描器(如 Shodan 脚本)已存在。
Q7怎么自查?(特征/扫描)
🔎 **自查特征**: - **Shodan 指纹**:`http.favicon.hash:-335242539` - **URL 特征**:访问 `/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd` - **响应**:若返回 passwd 内容则存在漏洞。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:**已修复**。 📄 **参考**:F5 支持文章 K52145254 提供了修复方案。 📌 **建议**:立即升级到受影响版本之外的最新安全版本。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: - **WAF/防火墙规则**:拦截包含 `..;/` 或 `hsqldb` 的 URL 请求。 - **Nginx/Apache 配置**:添加 `LocationMatch` 规则,对包含 `..;` 或 `hsqldb` 的请求返回 404。 - **示例**:`Redirect 404 /` 针对匹配模式。
Q10急不急?(优先级建议)
🔥 **优先级**:**极高 (Critical)**。 ⏰ **紧急程度**:PoC 已公开,自动化扫描工具可用,攻击成本低。 ✅ **行动**:立即修补或实施临时缓解措施,防止被自动化脚本扫描利用。