安全公告 NCSC-2025-0319 [1.0.0]

发布日期
2025年10月15日 17:21（欧洲/阿姆斯特丹）

优先级
正常

涉及内容
F5 Networks BIG-IP、F5OS和NGINX App Protect WAF中的漏洞修复

漏洞特征

• 文件名或路径的外部控制
• 操作系统命令中特殊元素的不当处理（OS命令注入）
• 网页生成过程中输入内容的不当处理（跨站脚本）
• 动态评估代码中指令的不当处理（Eval注入）
• 内存缓冲区操作限制不当
• 未检查输入大小的缓冲区复制（经典缓冲区溢出）
• 越界读取
• 表达式/命令分隔符处理不当
• 敏感信息插入发送数据
• 使用可见敏感信息调用进程
• 不必要的特权执行
• 未检查返回值
• 可预测数字或标识符的生成
• 有效生命周期后内存未释放
• 资源关闭或释放不当
• 双重释放
• 释放后使用
• 直接请求（强制浏览）
• 未初始化变量的使用
• 清理不完整
• 空指针解引用
• 资源过期或释放后的操作
• 不受控制的递归
• 异常条件检查或处理不当
• 控制流作用域错误
• 无限制或节流的资源分配
• 越界写入
• 未初始化指针的访问
• 输入中指定数量的验证不当

漏洞描述

F5 Networks已修复BIG-IP和F5OS产品线以及NGINX App Protect WAF中的漏洞。这些漏洞包括各种配置问题和攻击向量。恶意攻击者可利用这些漏洞执行攻击，导致以下类型的损害：

• 拒绝服务
• 数据操纵
• 任意代码执行（root/admin权限）
• 敏感数据访问
• 权限提升

解决方案

F5 Networks已发布更新以修复这些漏洞。更多信息请参阅附带的参考资料。

除上述安全建议外，F5 Networks还发布了关于其系统安全事件的网站公告。F5 Networks建议客户尽快安装最新的安全更新。此外，F5 Networks还分享了检测和加固措施，并建议企业实施这些措施。请阅读网站公告获取更多信息。

参考资料

• https://my.f5.com/manage/s/article/K000154696
• https://my.f5.com/manage/s/article/K000156572

CVE清单

• CVE-2025-61938 - CVSS (v4) 8.7
• CVE-2025-54858 - CVSS (v4) 8.7
• CVE-2025-58120 - CVSS (v4) 8.7
• CVE-2025-53856 - CVSS (v4) 8.7
• CVE-2025-61974 - CVSS (v4) 8.7
• CVE-2025-58071 - CVSS (v3) 7.5
• CVE-2025-53521 - CVSS (v4) 8.7
• CVE-2025-61960 - CVSS (v4) 8.7
• CVE-2025-54854 - CVSS (v4) 8.7
• CVE-2025-53474 - CVSS (v4) 8.7
• CVE-2025-61990 - CVSS (v3) 7.5
• CVE-2025-61935 - CVSS (v3) 7.5
• CVE-2025-59778 - CVSS (v4) 7.7
• CVE-2025-59481 - CVSS (v4) 8.5
• CVE-2025-61958 - CVSS (v4) 8.5
• CVE-2025-47148 - CVSS (v4) 7.1
• CVE-2025-47150 - CVSS (v4) 7.1
• CVE-2025-55670 - CVSS (v4) 7.1
• CVE-2025-54805 - CVSS (v4) 6.0
• CVE-2025-59269 - CVSS (v4) 8.4
• CVE-2025-58153 - CVSS (v4) 8.2
• CVE-2025-53868 - CVSS (v4) 8.5
• CVE-2025-61955 - CVSS (v4) 8.5
• CVE-2025-57780 - CVSS (v3) 7.8
• CVE-2025-60016 - CVSS (v4) 8.7
• CVE-2025-48008 - CVSS (v4) 8.7
• CVE-2025-59781 - CVSS (v4) 8.7
• CVE-2025-41430 - CVSS (v4) 8.7
• CVE-2025-55669 - CVSS (v4) 8.7
• CVE-2025-61951 - CVSS (v4) 8.7
• CVE-2025-55036 - CVSS (v4) 8.7
• CVE-2025-54479 - CVSS (v4) 8.7
• CVE-2025-46706 - CVSS (v4) 8.7
• CVE-2025-59478 - CVSS (v4) 8.7
• CVE-2025-60015 - CVSS (v4) 6.9
• CVE-2025-59483 - CVSS (v4) 8.5
• CVE-2025-60013 - CVSS (v4) 4.6
• CVE-2025-59268 - CVSS (v4) 6.9
• CVE-2025-58474 - CVSS (v4) 6.9
• CVE-2025-61933 - CVSS (v3) 6.1
• CVE-2025-54755 - CVSS (v4) 6.9
• CVE-2025-53860 - CVSS (v3) 4.1
• CVE-2025-58424 - CVSS (v4) 6.3

受影响产品

• F5 BIG-IP
• F5OS - 设备
• F5OS - 机箱
• F5OS-A
• F5OS-C
• NGINX App Protect WAF

免责声明

荷兰国家网络安全中心（以下简称：NCSC-NL）维护此页面以增强对其信息和安全公告的访问。使用此安全公告需遵守以下条款和条件：

NCSC-NL尽一切合理努力确保此页面内容保持最新、准确和完整。然而，NCSC-NL不能完全排除错误的可能性，因此不能保证其完整性、准确性或持续更新。此安全公告中包含的信息仅用于向专业用户提供一般信息。不得从所提供的信息中衍生任何权利。

NCSC-NL和荷兰王国对因使用或无法使用此安全公告而导致的任何损害不承担任何法律责任或义务。这包括因公告中信息不准确或不完整而造成的损害。

此安全公告受荷兰法律管辖。与使用此公告相关或由此产生的所有争议将提交给海牙有管辖权的法院。此选择方式也适用于简易程序法院。