Vulnerabilities ›

CVE-2026-40631

High

CWE-552 — Weakness Type

                    Published: May 13, 2026                      ·  Modified: May 20, 2026                      ·  Source: NVD                

CVSS v3

8.7

🔗 NVD Official

📄 Description (English)

An authenticated attacker with the Resource Administrator or Administrator role can modify configuration objects through iControl SOAP resulting in privilege escalation. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

🤖 AI Executive Summary

An authenticated attacker with Resource Administrator or Administrator role can modify configuration objects through iControl SOAP, leading to privilege escalation. This vulnerability affects F5 BIG-IP systems and requires valid administrative credentials to exploit.

📄 Description (Arabic)

تسمح هذه الثغرة للمستخدمين المصرحين بأدوار إدارية بتعديل كائنات التكوين الحساسة عبر بروتوكول iControl SOAP. يمكن للمهاجم استخدام هذا الوصول لتصعيد امتيازاته وكسب تحكم كامل على نظام BIG-IP. تؤثر الثغرة على الإصدارات المدعومة فقط من F5 BIG-IP.

🤖 ملخص تنفيذي (AI)

يمكن لمهاجم مصرح له بدور مسؤول الموارد أو المسؤول تعديل كائنات التكوين عبر iControl SOAP مما يؤدي إلى تصعيد الامتيازات. تؤثر هذه الثغرة على أنظمة F5 BIG-IP وتتطلب بيانات اعتماد إدارية صحيحة للاستغلال.

🤖 AI Intelligence Analysis Analyzed: May 20, 2026 00:19

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government energy

🎯 MITRE ATT&CK Techniques

T1548 T1078 T1098

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Update F5 BIG-IP to the latest patched version immediately. Restrict iControl SOAP access through network segmentation and firewall rules. Implement principle of least privilege for administrative accounts. Monitor and audit all configuration changes through iControl SOAP interfaces. Disable iControl SOAP if not required for operations.

🔧 خطوات المعالجة (العربية)

قم بتحديث F5 BIG-IP إلى أحدث إصدار معدل فوراً. قيد الوصول إلى iControl SOAP من خلال تقسيم الشبكة وقواعد جدار الحماية. طبق مبدأ أقل امتياز للحسابات الإدارية. راقب وتدقيق جميع تغييرات التكوين عبر واجهات iControl SOAP. عطل iControl SOAP إذا لم تكن مطلوبة للعمليات.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.9.4.3

🔗 References & Sources 1

🔗

https://my.f5.com/manage/s/article/K000160979

f5sirt@f5.com

📊 CVSS Score

8.7

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredH — High

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score8.7

CWECWE-552

EPSS0.07%

Exploit No

Patch ✗ No

Published 2026-05-13

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-552

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-40631

Introduce Yourself

Sign In Required