Escanear gratis
HIGHCVE-2026-39458CVSS 7.5

CVE-2026-39458: DoS en F5 BIG-IP

Plataforma

linux

Componente

bigip

Corregido en

21.0.0.1

Ver en NVD
Guardar

La vulnerabilidad CVE-2026-39458 afecta a F5 BIG-IP cuando un perfil DNS con caché habilitado se configura en un servidor virtual. Un ataque de denegación de servicio (DoS) puede provocar la terminación del Traffic Management Microkernel (TMM), interrumpiendo el servicio. Las versiones afectadas son 16.1.0 hasta 21.0.0.1. La solución recomendada es actualizar a la versión 21.0.0.1 o superior.

Impacto y Escenarios de Ataque

Un atacante puede explotar esta vulnerabilidad enviando tráfico malicioso específicamente diseñado para sobrecargar el perfil DNS con caché habilitado en F5 BIG-IP. La terminación del TMM resulta en la interrupción del servicio, impidiendo que los usuarios accedan a las aplicaciones y servicios alojados en el BIG-IP. El impacto puede ser significativo, especialmente en entornos críticos donde el BIG-IP actúa como un componente central de la infraestructura de red. La interrupción prolongada puede resultar en pérdida de ingresos, daño a la reputación y posibles sanciones regulatorias. Aunque no se ha reportado explotación activa, la naturaleza de la vulnerabilidad (DoS) la convierte en un objetivo atractivo para atacantes que buscan interrumpir el servicio.

Contexto de Explotación

La vulnerabilidad CVE-2026-39458 fue publicada el 13 de mayo de 2026. La puntuación CVSS es 7.5 (ALTO), lo que indica una alta probabilidad de explotación. Actualmente no se dispone de información sobre campañas de explotación activas. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La falta de una versión fija inmediata para todas las versiones afectadas aumenta el riesgo.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

CISA SSVC

Explotaciónnone
Automatizableyes
Impacto Técnicopartial

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H7.5HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityNoneRiesgo de exposición de datos sensiblesIntegrityNoneRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Ninguno — sin impacto en confidencialidad.
Integrity
Ninguno — sin impacto en integridad.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentebigip
ProveedorF5
Versión mínima16.1.0
Versión máxima21.0.0.1
Corregido en21.0.0.1

Clasificación de Debilidad (CWE)

CWE-824

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workarounds

La mitigación principal es actualizar a la versión 21.0.0.1 o superior de F5 BIG-IP, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar mitigaciones temporales. Estas incluyen la desactivación del caché DNS en el perfil DNS o la limitación de la tasa de solicitudes al perfil DNS. También se puede considerar la implementación de reglas en un firewall o WAF para filtrar tráfico sospechoso dirigido al perfil DNS. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando los registros del sistema en busca de errores relacionados con la terminación del TMM.

Cómo corregirlotraduciendo…

Actualice su sistema BIG-IP a una versión corregida. Consulte la nota de seguridad de F5 (https://my.f5.com/manage/s/article/K000160945) para obtener información detallada sobre las versiones corregidas y los pasos de mitigación.

Preguntas frecuentes

¿Qué es CVE-2026-39458 — DoS en F5 BIG-IP?

CVE-2026-39458 es una vulnerabilidad de Denegación de Servicio (DoS) en F5 BIG-IP que permite a un atacante causar la terminación del Traffic Management Microkernel (TMM) mediante tráfico malicioso, interrumpiendo el servicio.

¿Am I affected by CVE-2026-39458 en F5 BIG-IP?

Si está utilizando F5 BIG-IP en las versiones 16.1.0 hasta 21.0.0.1 con un perfil DNS con caché habilitado, es probable que esté afectado por esta vulnerabilidad.

¿Cómo puedo solucionar CVE-2026-39458 en F5 BIG-IP?

La solución recomendada es actualizar a la versión 21.0.0.1 o superior de F5 BIG-IP. Si no es posible, aplique mitigaciones temporales como desactivar el caché DNS o limitar la tasa de solicitudes.

¿Se está explotando activamente CVE-2026-39458?

Actualmente no se dispone de información sobre campañas de explotación activas, pero la naturaleza de la vulnerabilidad (DoS) la convierte en un objetivo potencial.

¿Dónde puedo encontrar el advisory oficial de F5 para CVE-2026-39458?

Consulte el sitio web de F5 Security para obtener el advisory oficial: [https://www.f5.com/](https://www.f5.com/)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...