製品・ソフトウェアに関する情報
脆弱性検索
F5 BIG-IP APM および Edge Gateway におけるオープンリダイレクトの脆弱性
タイトル F5 BIG-IP APM および Edge Gateway におけるオープンリダイレクトの脆弱性
概要

F5 BIG-IP APM および Edge Gateway には、マルチドメインのシングルサインオン (SSO) を使用する場合、オープンリダイレクトの脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-601: URL Redirection to Untrusted Site (オープンリダイレクト) と識別されています。 http://cwe.mitre.org/data/definitions/601.html

想定される影響 第三者により、SSO_ORIG_URI パラメータの base64 でエンコードされた URL を介して、ユーザを任意の Web サイトにリダイレクトされ、フィッシング攻撃を実行される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2016年6月13日0:00
登録日 2016年6月21日15:34
最終更新日 2016年6月21日15:34
CVSS3.0 : 警告
スコア 5.3
ベクター CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N
CVSS2.0 : 警告
スコア 4
ベクター AV:N/AC:H/Au:N/C:P/I:P/A:N
影響を受けるシステム
F5 Networks
BIG-IP Access Policy Manager (APM) 11.2.1
BIG-IP Access Policy Manager (APM) 11.4.0 から 11.6.0
BIG-IP Edge Gateway 11.2.1
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
0 [2016年06月21日]
  掲載		 2018年2月17日10:37
NVD脆弱性情報
CVE-2016-3687
概要

Open redirect vulnerability in F5 BIG-IP APM 11.2.1, 11.4.x, 11.5.x, and 11.6.x before 11.6.0 HF6 and Edge Gateway 11.2.1, when using multi-domain single sign-on (SSO), allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via a base64-encoded URL in the SSO_ORIG_URI parameter.

公表日 2016年6月17日3:59
登録日 2021年1月26日14:11
最終更新日 2024年11月21日11:50
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:f5:big-ip_access_policy_manager:11.5.2:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_access_policy_manager:11.5.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_access_policy_manager:11.5.1:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_access_policy_manager:11.2.1:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_access_policy_manager:11.5.3:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_access_policy_manager:11.4.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_access_policy_manager:11.5.4:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_access_policy_manager:11.6.0:*:*:*:*:*:*:*
cpe:2.3:a:f5:big-ip_access_policy_manager:11.4.1:*:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:a:f5:big-ip_edge_gateway:11.2.1:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧