الثغرات ›

CVE-2026-39459

مرتفع

CWE-272 — نوع الضعف

                    نُشر: May 13, 2026                      ·  آخر تحديث: May 20, 2026                      ·  المصدر: NVD                

CVSS v3

7.2

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability exists in iControl REST and the TMOS Shell (tmsh) where a highly privileged, authenticated attacker with at least the Manager role can create configuration objects that allow running arbitrary commands.

Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

🤖 ملخص AI

A vulnerability in F5 iControl REST and TMOS Shell allows authenticated attackers with Manager role privileges to create malicious configuration objects enabling arbitrary command execution. This affects F5 BIG-IP systems used extensively in enterprise infrastructure.

📄 الوصف (العربية)

تسمح هذه الثغرة لمهاجم مصرح بدور المدير على الأقل بإنشاء كائنات تكوين خاصة في F5 BIG-IP تؤدي إلى تنفيذ أوامر عشوائية على النظام. تؤثر الثغرة على واجهة iControl REST وقشرة TMOS، وهما مكونات حرجة في إدارة أنظمة التوازن والأمان.

🤖 ملخص تنفيذي (AI)

ثغرة في F5 iControl REST و TMOS Shell تسمح للمهاجمين المصرحين بدور المدير بإنشاء كائنات تكوين ضارة تمكن من تنفيذ أوامر عشوائية. يؤثر هذا على أنظمة F5 BIG-IP المستخدمة على نطاق واسع في البنية التحتية للمؤسسات.

🤖 التحليل الذكي آخر تحليل: May 20, 2026 16:02

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom energy government healthcare

🎯 تقنيات MITRE ATT&CK

T1059 T1548 T1098 T1133

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Update F5 BIG-IP systems to patched versions immediately. Restrict Manager role access to trusted administrators only. Implement network segmentation to limit access to iControl REST interfaces. Monitor configuration changes and audit logs for suspicious object creation. Disable iControl REST if not required for operations.

🔧 خطوات المعالجة (العربية)

قم بتحديث أنظمة F5 BIG-IP إلى الإصدارات المصححة فوراً. قيد الوصول إلى دور المدير للمسؤولين الموثوقين فقط. طبق تقسيم الشبكة لتحديد الوصول إلى واجهات iControl REST. راقب التغييرات في التكوين وسجلات التدقيق للكشف عن إنشاء كائنات مريبة. عطل iControl REST إذا لم تكن مطلوبة للعمليات.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.2.1 5.3.1 6.1.1

🔵 SAMA CSF

ID.AM-2 PR.AC-1 PR.AC-4 DE.CM-1

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.1 A.12.4.1

🔗 المراجع والمصادر 1

🔗

https://my.f5.com/manage/s/article/K000160863

f5sirt@f5.com

📊 CVSS Score

7.2

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredH — High

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.2

CWECWE-272

EPSS0.09%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-13

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-272

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-39459

عرّفنا بنفسك

تسجيل الدخول مطلوب