关键漏洞信息 漏洞ID: K21042153 CVE编号: CVE-2018-15313 漏洞类型: XSS (跨站脚本攻击) 受影响产品: - BIG-IP AFM: 12.1.0 - 12.1.2, 13.0.0 - 13.1.2 - BIG-IP (其他模块): 不受影响 - Enterprise Manager: 不受影响 - BIG-IQ Centralized Management: 不受影响 - BIG-IQ Cloud and Orchestration: 不受影响 - F5 iWorkflow: 不受影响 - Traffix SDC: 不受影响 CVSS评分: 7.5 (严重) 发布时间: 2018年10月18日 更新时间: 2023年2月22日 修复版本: - BIG-IP AFM: - 12.x系列: 12.1.3.7 - 13.x系列: 13.1.1.2 - 14.x系列: 14.0.0 影响: 通过特定构造的URL,远程未授权攻击者可以在当前登录用户的上下文中执行JavaScript,导致在浏览器中执行恶意HTML或JavaScript代码。 缓解措施: 将易受攻击的版本升级到修复版本,或限制管理接口的网络访问。 相关链接: - K7312: Overview of the management port - K5181227: Understanding Security Advisory versioning - K41942608: Overview of Security Advisory articles - K4602: Overview of the F5 security vulnerability response policy - K4918: Overview of the F5 critical issue hotfix policy - K9502: BIG-IP hotfix and point release matrix - K167: Downloading software and firmware from F5 - K9970: Subscribing to email notifications regarding F5 products - K9957: Creating a custom RSS feed to view new and updated documents