Escanear gratis
Análisis pendienteCVE-2026-34176

CVE-2026-34176: RCE en F5 BIG-IP 16.1.0–21.0.0.2

Plataforma

linux

Componente

bigip

Corregido en

21.0.0.2

Ver en NVD
Guardar

Se ha descubierto una vulnerabilidad de inyección de comandos remotos autenticada en F5 BIG-IP cuando se ejecuta en modo Appliance. Esta falla, presente en las versiones 16.1.0 hasta 21.0.0.2, permite a un atacante con acceso autenticado ejecutar comandos arbitrarios en el sistema. La vulnerabilidad reside en un endpoint iControl REST no especificado. La actualización a la versión 21.0.0.2 resuelve este problema.

Impacto y Escenarios de Ataque

Un atacante que explote esta vulnerabilidad podría obtener control total sobre el sistema BIG-IP afectado. Esto incluye la capacidad de leer, modificar o eliminar datos confidenciales, instalar malware, o utilizar el sistema como punto de apoyo para atacar otros sistemas en la red. La inyección de comandos remotos permite la ejecución de código arbitrario, lo que amplía significativamente el impacto potencial. La severidad de esta vulnerabilidad es alta debido a la facilidad de explotación y el potencial de daño significativo.

Contexto de Explotación

La vulnerabilidad CVE-2026-34176 fue publicada el 13 de mayo de 2026. La probabilidad de explotación se considera media, dado que requiere autenticación, pero la alta severidad la convierte en un objetivo atractivo. No se han reportado campañas activas de explotación a la fecha, pero la disponibilidad de la información sobre la vulnerabilidad aumenta el riesgo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

CISA SSVC

Explotaciónnone
Automatizableno
Impacto Técnicototal

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N8.7HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredHighNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeChangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityNoneRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Alto — se requiere cuenta de administrador o privilegiada.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Ninguno — sin impacto en disponibilidad.

Software Afectado

Componentebigip
ProveedorF5
Versión mínima16.1.0
Versión máxima21.0.0.2
Corregido en21.0.0.2

Clasificación de Debilidad (CWE)

CWE-78

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workarounds

La mitigación principal es actualizar a la versión 21.0.0.2 de F5 BIG-IP. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad temporales. Estas pueden incluir restringir el acceso al endpoint iControl REST vulnerable, implementar reglas de firewall para limitar el tráfico entrante, y monitorear los registros del sistema en busca de actividad sospechosa. Si se requiere un rollback, documente la configuración actual antes de revertir a una versión anterior y aplique las mitigaciones temporales inmediatamente después. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que el endpoint iControl REST ya no sea susceptible a la inyección de comandos.

Cómo corregirlotraduciendo…

F5 recomienda aplicar las actualizaciones de seguridad proporcionadas en el aviso de seguridad correspondiente (K000160857).  Estas actualizaciones corrigen la vulnerabilidad de inyección de comandos remotos autenticados.  Consulte la documentación oficial de F5 para obtener instrucciones detalladas sobre cómo aplicar las actualizaciones.

Preguntas frecuentes

What is CVE-2026-34176 — RCE en F5 BIG-IP?

CVE-2026-34176 es una vulnerabilidad de inyección de comandos remotos autenticada en F5 BIG-IP que permite a un atacante ejecutar comandos arbitrarios en el sistema. Tiene una severidad CVSS de 8.7 (ALTO).

Am I affected by CVE-2026-34176 en F5 BIG-IP?

Si está utilizando F5 BIG-IP en modo Appliance con versiones entre 16.1.0 y 21.0.0.2, es probable que esté afectado. Verifique su versión y aplique la actualización o mitigaciones.

How do I fix CVE-2026-34176 en F5 BIG-IP?

La solución es actualizar a la versión 21.0.0.2 de F5 BIG-IP. Si la actualización no es posible, implemente mitigaciones temporales como restringir el acceso al endpoint vulnerable.

Is CVE-2026-34176 being actively exploited?

A la fecha, no se han reportado campañas activas de explotación, pero la vulnerabilidad es de alta severidad y podría ser un objetivo para atacantes. Monitoree las fuentes de inteligencia de amenazas.

Where can I find the official F5 advisory for CVE-2026-34176?

Consulte el sitio web de F5 Networks para obtener la información oficial y las actualizaciones sobre esta vulnerabilidad: [https://www.f5.com/](https://www.f5.com/)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...