【漏洞复现】BIG-IP Next Central Manager OData 注入漏洞（CVE-2024-21793）

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！！！

0x01 产品介绍

BIG-IP Next Central Manager是BIG-IP Next的原生默认用户界面，它可跨平台管理BIG-IP Next实例。BIG-IP Next是F5 Networks公司推出的一款下一代BIG-IP软件，提供了多云应用安全和应用交付服务。

0x02 漏洞威胁

当启用 LDAP时，BIG-IP Next Central Manager 版本20.0.1 - 20.1.0的API (URI) 中存在OData 注入漏洞，该漏洞存在于Central Manager 处理 OData 查询的方式中，可能导致未经身份验证的威胁者注入OData 查询过滤器参数，从而获取敏感信息，如管理员密码哈希等。

0x03 影响范围

BIG-IP Next Central Manager 20.x ：