Escanear gratis
HIGHCVE-2026-39459CVSS 7.2

CVE-2026-39459: RCE en F5 BIG-IP 16.1.0–21.0.0.2

Plataforma

linux

Componente

bigip

Corregido en

21.0.0.2

Ver en NVD
Guardar

Se ha identificado una vulnerabilidad de ejecución remota de código (RCE) en F5 BIG-IP, específicamente en iControl REST y el TMOS Shell (tmsh). Un atacante autenticado con privilegios elevados, como el rol de Administrador, puede crear objetos de configuración que permiten la ejecución de comandos arbitrarios en el sistema. Esta vulnerabilidad afecta a las versiones 16.1.0 hasta 21.0.0.2 y se recomienda actualizar a la versión 21.0.0.2 para mitigar el riesgo.

Impacto y Escenarios de Ataque

La explotación exitosa de esta vulnerabilidad permite a un atacante con privilegios de administrador ejecutar comandos arbitrarios en el sistema F5 BIG-IP. Esto podría resultar en el control total del dispositivo, incluyendo la modificación de la configuración, el acceso a datos sensibles, la interrupción del servicio y el movimiento lateral a otras partes de la red. El impacto es significativo, ya que un atacante podría comprometer la infraestructura de red y acceder a información confidencial. La capacidad de ejecutar comandos arbitrarios es comparable a la de un administrador legítimo, lo que amplía el radio de explosión de la vulnerabilidad.

Contexto de Explotación

La vulnerabilidad CVE-2026-39459 fue publicada el 13 de mayo de 2026. La probabilidad de explotación se considera media, dado que requiere autenticación con privilegios elevados. No se han reportado campañas activas de explotación en el momento de la publicación, pero la naturaleza de la vulnerabilidad (RCE) la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

CISA SSVC

Explotaciónnone
Automatizableno
Impacto Técnicototal

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H7.2HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredHighNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Alto — se requiere cuenta de administrador o privilegiada.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentebigip
ProveedorF5
Versión mínima16.1.0
Versión máxima21.0.0.2
Corregido en21.0.0.2

Clasificación de Debilidad (CWE)

CWE-272

Cronología

  1. Reservado
  2. Publicada
  3. Modificada

Mitigación y Workarounds

La solución recomendada es actualizar a la versión 21.0.0.2 de F5 BIG-IP, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se pueden aplicar mitigaciones temporales. Estas incluyen restringir el acceso a iControl REST y tmsh a usuarios autorizados, implementar reglas de firewall para limitar el tráfico entrante a estos servicios y monitorear los registros del sistema en busca de actividades sospechosas. En entornos donde la actualización es problemática, considere revertir a una versión anterior conocida como estable, pero evalúe cuidadosamente el impacto en la funcionalidad. Después de la actualización, confirme la mitigación revisando los registros del sistema y realizando pruebas de seguridad para verificar que los comandos arbitrarios no puedan ser ejecutados.

Cómo corregirlotraduciendo…

Actualice a una versión corregida de F5 BIG-IP. Las versiones corregidas son 21.0.0.2, 17.5.1.6 y 17.1.3.2. Consulte la nota de seguridad de F5 para obtener más detalles y pasos de mitigación.

Preguntas frecuentes

¿Qué es CVE-2026-39459 — RCE en F5 BIG-IP?

CVE-2026-39459 es una vulnerabilidad de ejecución remota de código (RCE) en F5 BIG-IP que permite a un atacante autenticado ejecutar comandos arbitrarios en el sistema. Tiene una severidad ALTA (CVSS 7.2).

¿Estoy afectado por CVE-2026-39459 en F5 BIG-IP?

Si está utilizando F5 BIG-IP en las versiones 16.1.0 hasta 21.0.0.2, es probable que esté afectado. Verifique su versión y aplique la actualización o mitigaciones.

¿Cómo soluciono CVE-2026-39459 en F5 BIG-IP?

La solución es actualizar a la versión 21.0.0.2 de F5 BIG-IP. Si no es posible, aplique mitigaciones temporales como restringir el acceso a iControl REST y tmsh.

¿Se está explotando activamente CVE-2026-39459?

No se han reportado campañas activas de explotación en el momento de la publicación, pero la naturaleza de la vulnerabilidad la convierte en un objetivo potencial.

¿Dónde puedo encontrar el advisory oficial de F5 para CVE-2026-39459?

Consulte el sitio web de F5 Security Advisory para obtener la información más reciente: [https://www.f5.com/service-announcements/](https://www.f5.com/service-announcements/)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...