Escanear gratis
HIGHCVE-2026-41227CVSS 7.5

CVE-2026-41227: DoS en F5 BIG-IP 16.1.0–17.5.1.4

Plataforma

linux

Componente

bigip

Corregido en

17.5.1.4

Ver en NVD
Guardar

La vulnerabilidad CVE-2026-41227 es una denegación de servicio (DoS) que afecta a F5 BIG-IP. El envío de tráfico específico a un servidor virtual HTTP/2 con Layer 7 DoS Protection configurado puede provocar un aumento en el consumo de memoria, lo que resulta en la terminación del proceso Traffic Management Microkernel (TMM). Esta vulnerabilidad afecta a las versiones 16.1.0 hasta 17.5.1.4 y se recomienda actualizar a la versión 17.5.1.4 para solucionar el problema.

Impacto y Escenarios de Ataque

Un atacante podría explotar esta vulnerabilidad enviando tráfico especialmente diseñado a un servidor virtual HTTP/2 en F5 BIG-IP. Este tráfico, aunque aparentemente inofensivo, podría provocar un consumo excesivo de memoria por parte del proceso TMM, lo que eventualmente conduciría a su terminación. La interrupción del proceso TMM afectaría la capacidad del sistema para manejar el tráfico, resultando en una denegación de servicio para los usuarios. La severidad de este impacto depende de la criticidad de los servicios que se ejecutan en el BIG-IP y la disponibilidad de mecanismos de redundancia. Si el BIG-IP es un punto único de fallo, la interrupción podría tener un impacto significativo en la disponibilidad de las aplicaciones y servicios.

Contexto de Explotación

La vulnerabilidad CVE-2026-41227 fue publicada el 13 de mayo de 2026. La probabilidad de explotación se considera media, dado que se trata de una denegación de servicio y no de una ejecución remota de código. No se han reportado campañas activas de explotación en el momento de la publicación, pero la disponibilidad pública de la información sobre la vulnerabilidad podría cambiar esta situación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

CISA SSVC

Explotaciónnone
Automatizableyes
Impacto Técnicopartial

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H7.5HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityNoneRiesgo de exposición de datos sensiblesIntegrityNoneRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Ninguno — sin impacto en confidencialidad.
Integrity
Ninguno — sin impacto en integridad.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentebigip
ProveedorF5
Versión mínima16.1.0
Versión máxima17.5.1.4
Corregido en17.5.1.4

Clasificación de Debilidad (CWE)

CWE-770

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workarounds

La mitigación principal para CVE-2026-41227 es actualizar a la versión 17.5.1.4 o superior de F5 BIG-IP. Si la actualización no es inmediatamente posible, se recomienda revisar la configuración de Layer 7 DoS Protection para asegurar que esté correctamente configurada y que los umbrales de consumo de recursos estén adecuadamente ajustados. Aunque no es una solución completa, esto puede ayudar a mitigar el impacto del ataque. Además, se pueden implementar reglas en un firewall o proxy inverso para filtrar tráfico sospechoso que pueda estar diseñado para explotar la vulnerabilidad. Después de la actualización, confirme que el proceso TMM se mantiene estable bajo carga normal y que el consumo de memoria se encuentra dentro de los límites esperados.

Cómo corregirlotraduciendo…

Aplique las actualizaciones de seguridad proporcionadas por F5 para BIG-IP. Consulte la nota de seguridad K000158979 en el sitio web de F5 para obtener más detalles sobre las versiones afectadas y las actualizaciones disponibles.

Preguntas frecuentes

¿Qué es CVE-2026-41227 — DoS en F5 BIG-IP?

CVE-2026-41227 es una vulnerabilidad de denegación de servicio (DoS) en F5 BIG-IP que permite a un atacante agotar la memoria y causar la terminación del proceso TMM, interrumpiendo el servicio.

¿Am I affected by CVE-2026-41227 en F5 BIG-IP?

Si está utilizando F5 BIG-IP en las versiones 16.1.0 a 17.5.1.4 con servidores virtuales HTTP/2 y Layer 7 DoS Protection configurados, es probable que esté afectado.

¿Cómo puedo solucionar CVE-2026-41227 en F5 BIG-IP?

La solución recomendada es actualizar a la versión 17.5.1.4 o superior de F5 BIG-IP. Mientras tanto, revise la configuración de Layer 7 DoS Protection.

¿Está CVE-2026-41227 siendo activamente explotado?

No se han reportado campañas activas de explotación en el momento de la publicación, pero se recomienda monitorear las fuentes de inteligencia de amenazas.

¿Dónde puedo encontrar el advisory oficial de F5 para CVE-2026-41227?

Consulte el sitio web de F5 Security Advisories para obtener la información más reciente: [https://www.f5.com/support/security-advisories](https://www.f5.com/support/security-advisories)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...