F5 BIG-IP Next Central Manager SQL注入漏洞(CVE-2024-26026、CVE-2024-21793)

0x01 产品简介

BIG-IP Next Central Manager是BIG-IP Next的原生默认用户界面，它可跨平台管理BIG-IP Next实例。BIG-IP Next是F5 Networks公司推出的一款下一代BIG-IP软件，提供了多云应用安全和应用交付服务。

0x02 漏洞概述

CVE-2024-26026：BIG-IP Next Central Manager SQL注入漏洞

BIG-IP Next Central Manager 版本20.0.1 - 20.1.0的API (URI) 中存在SQL 注入漏洞，未经身份验证的威胁者可将恶意SQL查询注入数据库查询的输入字段或参数中，从而可能导致未授权访问、数据泄露和系统接管等。

CVE-2024-21793：BIG-IP Next Central Manager OData 注入漏洞

当启用 LDAP时，BIG-IP Next Central Manager 版本20.0.1 - 20.1.0的API (URI) 中存在OData 注入漏洞，该漏洞存在于Central Manager 处理 OData 查询的方式中，可能导致未经身份验证的威胁者注入OData 查询过滤器参数，从而获取敏感信息，如管理员密码哈希等。

0x03 影响范围

BIG-IP Next Central Manager 20.x ：20.0.1 - 20.1.0

0x04 复现环境

FOFA：title=="BIG-IP Next | Central Manager"