一、F5BIG-IP简介
F5BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。
二、漏洞简介
近日,F5 BIG-IP被爆出存在远程命令执行漏洞(CVE-2020-5902),攻击者可在未授权的情况下远程执行命令、创建或删除文件、开启或关闭服务等。
此漏洞为2017年Fastjson1.2.24 版本反序列化漏洞的延伸利用。攻击者可以通过发送精心构造的请求包在使用Fastjson的服务器上远程执行恶意代码。
三、 漏洞分析
1 命令执行
未授权的远程攻击者通过向该页面发送特制的请求包ÿ