关键信息 漏洞描述 漏洞编号: K000140918, CVE-2025-36504 影响产品: BIG-IP HTTP/2 问题: 当BIG-IP HTTP/2 Hitpprofile配置在虚拟服务器上时,未公开的响应可能导致内存使用增加。 影响 系统性能下降: Traffic Management Microkernel (TMM) 进程被迫重启或手动重启。 远程攻击: 未经身份验证的攻击者可以利用此漏洞导致服务中断(DoS)。 数据平面问题: 无控制平面暴露。 安全咨询状态 分类: CVSS:7.70 - 资源分配没有限制 评估: 使用PS诊断漏洞。 受影响的产品和版本 BIG-IP Next (所有模块): - 版本: 20.x, 20.2.0 - 20.2.1 - 固定版本: 20.3.0 - 严重性: High(7.8) (CVSS v3.1), High(8.7) (CVSS v4.0) - 漏洞组件: HTTP/2 profile BIG-IP Next SPK: - 版本: 2.x - 固定版本: 2.0.0 - 严重性: High(7.8) (CVSS v3.1), High(8.7) (CVSS v4.0) - 漏洞组件: HTTP/2 profile BIG-IP Next CNF: - 版本: 2.x - 固定版本: 2.0.0 - 严重性: High(7.8) (CVSS v3.1), High(8.7) (CVSS v4.0) - 漏洞组件: HTTP/2 profile 推荐措施 安装补丁: 对于已知易受攻击的版本,安装“引入修复”列中指定的补丁。 升级版本: 如果没有针对您正在运行的分支的补丁,则升级到同一分支中的下一个候选版本。 移除HTTP/2配置: 移除虚拟服务器上的HTTP/2配置。