Aviso de seguridad de F5 de octubre 2025
- BIG-IP, todos los módulos;
- F5OS-A;
- F5OS-C;
- BIG-IP Next SPK;
- BIG-IP Next CNF;
- BIG-IP SSL Orchestrator;
- BIG-IP PEM;
- BIG-IP Next for Kubernetes;
- BIG-IP AFM;
- BIG-IP Advanced WAF/ASM;
- F5 Silverline, todos los servicios;
- BIG-IP APM, APM con SWG, SSL Orchestrator, SSL Orchestrator con SWG;
- NGINX App Protect WAF.
F5, en su comunicado trimestral de parches de seguridad ha publicado un total de 43 vulnerabilidades que afectan a sus productos, 27 de severidad alta, 15 media y 1 baja. En caso de ser explotadas podrían permitir a un atacante, escalar privilegios, finalizar procesos o incrementar el uso de memoria, entre otros.
Actualizar el producto a la última versión. Para confirmar la última versión en cada caso y si hay alguna consideración con la actualización, se recomienda consultar el enlace de las referencias.
A continuación se muestran las vulnerabilidades de severidad alta y su tipo:
- CVE-2025-53868: neutralización incorrecta de elementos especiales empleados en un comando del SO;
- CVE-2025-61955: neutralización incorrecta de directivas en código evaluado dinámicamente;
- CVE-2025-57780: ejecución con privilegios no necesarios;
- CVE-2025-60016: restricción inadecuada de operaciones dentro de los límites de la memoria del búfer;
- CVE-2025-48008: uso después de la liberación;
- CVE-2025-59781: limpieza incompleta;
- CVE-2025-41430, CVE-2025-46706, CVE-2025-53521 y CVE-2025-59778: asignación de recursos sin límites ni restricciones;
- CVE-2025-55669: uso de un recurso después de que haya expirado o haya sido liberado;
- CVE-2025-61951 y CVE-2025-54854: lectura fuera de límites;
- CVE-2025-55036, CVE-2025-54479 y CVE-2025-58096: escritura fuera de límites;
- CVE-2025-59478: acceso a un puntero no inicializado;
- CVE-2025-61938: validación incorrecta de la cantidad especificada en la entrada;
- CVE-2025-54858: recursión no controlada;
- CVE-2025-58120 y CVE-2025-61960: desreferencia a puntero nulo;
- CVE-2025-53856: alcance incorrecto del flujo de control;
- CVE-2025-61974: falta la liberación de memoria tras el tiempo de vida efectivo;
- CVE-2025-58071: uso de una variable no inicializada;
- CVE-2025-53474: copia del búfer sin comprobar el tamaño de la entrada (desbordamiento clásico del búfer);
- CVE-2025-61990: doble liberación;
- CVE-2025-61935: valor de retorno no comprobado.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.