F5 Khắc Phục Hơn 50 Lỗ Hổng Bảo Mật Nghiêm Trọng
F5 đã phát hành các bản vá lỗi quan trọng nhằm khắc phục hơn 50 lỗ hổng bảo mật ảnh hưởng đến các sản phẩm BIG-IP, BIG-IQ và NGINX. Các lỗ hổng này bao gồm các lỗi từ chối dịch vụ (DoS) và thực thi mã từ xa có mức độ nghiêm trọng cao.

F5 vừa công bố các bản cập nhật bảo mật quan trọng, giải quyết tổng cộng hơn 50 lỗ hổng ảnh hưởng đến các dòng sản phẩm BIG-IP, BIG-IQ và NGINX. Trong số này, có 19 lỗ hổng được đánh giá là nghiêm trọng (high-severity) và 32 lỗ hổng mức độ trung bình.
F5 Vulnerability
Lỗ hổng nguy hiểm nhất được khắc phục trong đợt này là CVE-2026-42945, với điểm số CVSS v4.0 là 9.2. Đây là lỗi từ chối dịch vụ (DoS) nằm trong module ngx_http_rewrite_module của NGINX. Lỗi này cho phép kẻ tấn công chưa được xác thực gửi các yêu cầu HTTP được tạo đặc biệt. Trong một số điều kiện cụ thể, hành động này có thể kích hoạt tràn bộ nhớ đệm heap (heap buffer overflow) và gây khởi động lại hệ thống. Đáng lo ngại hơn, nếu cơ chế Address Space Layout Randomization (ASLR) bị vô hiệu hóa, kẻ tấn công có thể khai thác lỗi này để thực thi mã.
Tiếp theo là lỗ hổng CVE-2026-41225 (điểm số 8.6), ảnh hưởng đến iControl REST. Lỗi này cho phép một kẻ tấn công đã xác thực và có quyền quản lý (Manager permissions) tạo ra các đối tượng cấu hình, dẫn đến việc thực thi lệnh.
"Lỗ hổng này có thể cho phép kẻ tấn công có quyền cao với quyền truy cập mạng vào điểm cuối iControl REST bị ảnh hưởng thông qua cổng quản lý BIG-IP hoặc địa chỉ IP tự định nghĩa để leo thang đặc quyền hoặc vượt qua các hạn chế của chế độ Thiết bị (Appliance mode)," F5 giải thích.
Ngoài ra, F5 cũng đã vá các lỗ hổng thực thi mã từ xa (RCE) và tiêm lệnh từ xa (CVE-2026-41957, CVE-2026-34176, CVE-2026-39459) trong BIG-IP, tuy nhiên các lỗi này yêu cầu kẻ tấn công phải được xác thực.
Các lỗ hổng nghiêm trọng còn lại có thể dẫn đến việc vượt qua hạn chế, can thiệp tệp tùy ý và gây ra tình trạng DoS, chủ yếu thông qua việc khiến Traffic Management Microkernel (TMM) bị chấm dứt hoạt động. Các vấn đề mức độ trung bình được giải quyết trong tuần này có thể dẫn đến việc vượt qua bảo vệ, leo thang đặc quyền, lộ thông tin và nhiều rủi ro khác.
Hiện tại, chưa có bằng chứng nào cho thấy các lỗ hổng này đang bị khai thác tích cực trong tự nhiên. Người dùng được khuyến nghị cập nhật ngay lập tức theo thông báo bảo mật hàng quý của F5.
Bài viết liên quan

Phần mềm
Tối ưu hóa hệ thống gợi ý bằng LLM và Python: Cách cân bằng giữa tốc độ và độ chính xác
08 tháng 6, 2026

Phần mềm
Giám đốc Rimini Street: "Headless ERP" và mã nguồn mở là chìa khóa thoát khỏi sự kiểm soát của nhà cung cấp
16 tháng 6, 2026

Công nghệ
Amazon ra mắt tính năng Sleep Studio giúp trẻ em đi ngủ dễ dàng hơn trên loa Echo
10 tháng 6, 2026
