NVD Vulnerability Detail

CVE-2015-4040

Summary	Directory traversal vulnerability in the configuration utility in F5 BIG-IP before 12.0.0 and Enterprise Manager 3.0.0 through 3.1.1 allows remote authenticated users to access arbitrary files in the web root via unspecified vectors.
Publication Date	Sept. 18, 2015, 1:59 a.m.
Registration Date	Jan. 26, 2021, 2:50 p.m.
Last Update	Nov. 21, 2024, 11:30 a.m.

Affected software configurations

Configuration2	or higher	or less	more than	less than
cpe:2.3:a:f5:big-ip_global_traffic_manager::::::::		11.3.0
cpe:2.3:a:f5:big-ip_analytics::::::::		11.6.0
cpe:2.3:a:f5:big-ip_protocol_security_module::::::::		11.3.0
cpe:2.3:a:f5:big-ip_application_acceleration_manager::::::::		11.6.0
cpe:2.3:a:f5:big-ip_access_policy_manager::::::::		11.6.0
cpe:2.3:a:f5:big-ip_edge_gateway::::::::		11.3.0
cpe:2.3:a:f5:big-ip_local_traffic_manager::::::::		11.6.0
cpe:2.3:a:f5:big-ip_policy_enforcement_manager::::::::		11.3.0
cpe:2.3:a:f5:big-ip_link_controller::::::::		11.3.0
cpe:2.3:a:f5:big-ip_webaccelerator::::::::		11.3.0
cpe:2.3:a:f5:big-ip_wan_optimization_manager::::::::		11.3.0
cpe:2.3:a:f5:big-ip_application_security_manager::::::::		11.6.0
cpe:2.3:a:f5:big-ip_advanced_firewall_manager::::::::		11.6.0

Related information, measures and tools

No	URL	タグ
1	http://packetstormsecurity.com/files/133931/F5-BigIP-10.2.4-Build-595.0-HF3-Path-Traversal.html
2	http://packetstormsecurity.com/files/133931/F5-BigIP-10.2.4-Build-595.0-HF3-Path-Traversal.html
3	http://www.securitytracker.com/id/1033532
4	http://www.securitytracker.com/id/1033532
5	http://www.securitytracker.com/id/1033533
6	http://www.securitytracker.com/id/1033533
7	https://support.f5.com/kb/en-us/solutions/public/17000/200/sol17253.html	Vendor Advisory
8	https://support.f5.com/kb/en-us/solutions/public/17000/200/sol17253.html	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html

JVN Vulnerability Information

F5 BIG-IP および Enterprise Manager の Configuration ユーティリティにおけるディレクトリトラバーサルの脆弱性

Title	F5 BIG-IP および Enterprise Manager の Configuration ユーティリティにおけるディレクトリトラバーサルの脆弱性
Summary	F5 BIG-IP および Enterprise Manager の Configuration ユーティリティには、ディレクトリトラバーサルの脆弱性が存在します。
Possible impacts	リモート認証されたユーザにより、Web ルート内の任意のファイルにアクセスされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Sept. 9, 2015, midnight
Registration Date	Sept. 29, 2015, 10:08 a.m.
Last Update	Sept. 29, 2015, 10:08 a.m.

Affected System

F5 Networks

BIG-IP Access Policy Manager (APM) 12.0.0 未満

BIG-IP Advanced Firewall Manager (AFM) 12.0.0 未満

BIG-IP Analytics 12.0.0 未満

BIG-IP Application Acceleration Manager (AAM) 12.0.0 未満

BIG-IP Application Security Manager (ASM) 12.0.0 未満

BIG-IP Edge Gateway 10.1.0 から 10.2.4

BIG-IP Edge Gateway 11.0.0 から 11.3.0

BIG-IP Global Traffic Manager (GTM) 10.1.0 から 10.2.4

BIG-IP Global Traffic Manager (GTM) 11.0.0 から 11.6.0

BIG-IP Link Controller 12.0.0 未満

BIG-IP Local Traffic Manager (LTM) 12.0.0 未満

BIG-IP Policy Enforcement Manager (PEM) 12.0.0 未満

BIG-IP Protocol Security Module (PSM) 10.1.0 から 10.2.4

BIG-IP Protocol Security Module (PSM) 11.0.0 から 11.4.1

BIG-IP WAN Optimization Manager (WOM) 10.1.0 から 10.2.4

BIG-IP WAN Optimization Manager (WOM) 11.0.0 から 11.3.0

BIG-IP WebAccelerator 10.1.0 から 10.2.4

BIG-IP WebAccelerator 11.0.0 から 11.3.0

Enterprise Manager ソフトウェア 3.0.0 から 3.1.1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2015-4040	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4040
National Vulnerability Database (NVD)
2	CVE-2015-4040	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4040

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	Name	URL
Security Advisory
1	SOL17253: BIG-IP Configuration utility vulnerability	https://support.f5.com/kb/en-us/solutions/public/17000/200/sol17253.html

Change Log

No	Changed Details	Date of change
0	[2015年09月29日] 掲載	Feb. 17, 2018, 10:37 a.m.