ZeroBox Vulnerability Database

漏洞起因
设计错误
危险等级
中

影响系统
F5 BIG-IP <=11.2.0

不受影响系统

危害
远程攻击者可以利用漏洞以WEB上下文获取系统文件内容。

攻击所需条件
攻击者必须访问F5 BIG-IP。

漏洞信息
F5 BIG-IP强大功能的应用交换机。
F5 BIG-IP存在一个XML外部实体注入漏洞，允许通过验证的攻击者以”apache” OS用户上下文下载系统中任意文件，BIG-IP配置允许用户访问/etc/shadow文件获得用户密码哈希。

测试方法
http://downloads.securityfocus.com/vulnerabilities/exploits/57496.txt

厂商解决方案
F5 BIG-IP 11.2.0 HF3或11.2.1 HF3已经修复此漏洞，建议用户下载使用：
http://www.f5.com/

漏洞提供者
S. Viehback of SEC Consult Vulnerability Lab