Le 13 mai 2026, F5 a publié son bulletin de sécurité trimestriel référencé K000160932, corrigeant une cinquantaine de CVE réparties sur l'ensemble de son catalogue produit. Deux jours plus tard, le CERT-FR a relayé l'avis sous la référence CERTFR-2026-AVI-0591, attirant l'attention des administrateurs français sur l'ampleur des correctifs à déployer. Dix-neuf vulnérabilités sont classées en haute sévérité et trente-deux en sévérité moyenne. Aucune exploitation active n'a été confirmée dans la nature au moment de la publication, mais la criticité de certaines failles impose une réaction rapide.
Les équipements F5, et en particulier la gamme BIG-IP, occupent une position sensible dans les architectures réseau des grandes organisations. Répartiteurs de charge, pare-feu applicatifs, passerelles VPN ou contrôleurs d'accès, ces dispositifs traitent du trafic chiffré et disposent souvent d'une visibilité étendue sur les flux internes. Une compromission peut donc se traduire par un point d'appui idéal pour un attaquant cherchant à pivoter dans le système d'information, en élargissant brutalement la surface d'attaque exploitable depuis l'extérieur.
Le bulletin couvre l'ensemble des familles F5 actuellement maintenues. Côté BIG-IP, les versions 16.1.0 à 16.1.6, 17.1.0 à 17.1.3, 17.5.0 à 17.5.1 ainsi que la branche 21.0.x sont concernées. Les modules Advanced WAF/ASM, APM, DNS, PEM et SSL Orchestrator font partie du périmètre. BIG-IQ Centralized Management 8.4.0 est également affecté.
Le pan NGINX du portefeuille est massivement touché. NGINX Plus R32 et R36, mais aussi NGINX Open Source dans une plage de versions très large allant des branches historiques 0.3.50 à 0.9.7 jusqu'aux versions 1.0.0 à 1.30.0, sont vulnérables. NGINX App Protect WAF dans ses branches 4.9.0 à 4.16.0 et 5.1.0 à 5.8.0, NGINX Ingress Controller dans plusieurs séries, NGINX Gateway Fabric jusqu'à la version 2.6.0, ainsi que NGINX Instance Manager 2.16.0 à 2.21.1 sont également concernés. Enfin, BIG-IP Next CNF dans les branches 1.1.0 à 1.4.0 et 2.0.0 à 2.0.2 doit aussi être mis à jour.
Les catégories de risque couvertes par ce bulletin reflètent la diversité des composants concernés: exécution de code à distance, élévation de privilèges, déni de service, atteinte à l'intégrité ou à la confidentialité des données, contournement de politique de sécurité, et falsification de requête intersite (CSRF). Cette palette confirme que les administrateurs ne peuvent pas se contenter de prioriser une seule classe de vulnérabilités.
La vulnérabilité la plus sévère du lot porte la référence CVE-2026-42945 et un score CVSS de 9,2. Elle réside dans le module ngx_http_rewrite_module de NGINX, un composant chargé du traitement des règles de réécriture d'URL et présent dans la quasi-totalité des déploiements. Le défaut est un débordement de tampon dans le tas (heap overflow) déclenché par une requête HTTP spécialement forgée.
Le scénario d'exploitation ne demande aucune authentification préalable. Un attaquant capable d'atteindre le serveur peut envoyer la requête malveillante et provoquer la corruption mémoire. Lorsque la randomisation de l'espace d'adressage (ASLR) est désactivée sur l'hôte, l'exploitation peut conduire à l'exécution de code à distance dans le contexte du processus worker NGINX. Sur les déploiements de production exposés sur Internet, le risque est direct. F5 a publié les correctifs dans les versions NGINX 1.30.1 et 1.31.0, et la mise à jour est qualifiée d'urgente.
Plusieurs failles de haute sévérité concernent BIG-IP et sa surface d'administration. La CVE-2026-41225 (CVSS 8,6) affecte l'interface iControl REST. Un utilisateur authentifié disposant des permissions Manager peut créer des objets de configuration aboutissant à l'exécution de commandes sur l'équipement. Cette vulnérabilité touche BIG-IP en mode appliance, où l'isolation entre le système et l'utilisateur administrateur est censée empêcher justement ce type de manipulation. Les organisations qui s'appuient sur ce mode pour leur conformité doivent particulièrement la prendre en compte.
Trois autres références méritent une attention prioritaire: CVE-2026-41957, CVE-2026-34176 et CVE-2026-39459 conduisent à de l'exécution de code à distance ou à de l'injection de commandes dans BIG-IP. Toutes nécessitent une authentification préalable, ce qui réduit la surface d'attaque immédiate, mais ne supprime pas le risque dans un scénario de compromission en chaîne, par exemple après le vol de credentials d'un administrateur ou l'exploitation d'une faiblesse périphérique.
Le bulletin recense également douze conditions de déni de service touchant le Traffic Management Microkernel, le noyau temps réel qui gère le plan de données BIG-IP. Une indisponibilité de ce composant entraîne la perte du trafic transitant par l'équipement, ce qui pour un répartiteur de charge en production équivaut à une interruption de service.
La première étape consiste à consulter directement le bulletin K000160932 sur le portail my.f5.com, afin d'identifier précisément la version cible correspondant à chaque produit déployé. F5 publie les matrices de correspondance entre versions vulnérables et versions corrigées, et celles-ci varient selon les modules activés. Une approche par inventaire est indispensable: une organisation peut exploiter simultanément BIG-IP, des instances NGINX Plus et un NGINX Ingress Controller dans un cluster Kubernetes, chacun avec sa propre fenêtre de mise à jour.
Pour CVE-2026-42945, la priorité est de passer NGINX en version 1.30.1 ou 1.31.0 dans les délais les plus courts possibles, en commençant par les instances exposées sur Internet. Les déploiements internes restent concernés, mais le risque d'exploitation y est plus faible à court terme. Les équipes doivent également vérifier l'état d'ASLR sur leurs hôtes: une configuration durcie réduit la probabilité que le débordement aboutisse à une exécution de code, sans toutefois éliminer le risque de déni de service.
Sur BIG-IP, il est recommandé de revoir l'attribution des rôles iControl REST, en particulier le rôle Manager. Toute permission non strictement nécessaire doit être retirée en attendant le déploiement des correctifs. La surveillance des journaux d'accès à l'interface d'administration permet de détecter des tentatives anormales de création d'objets de configuration.
À la date de publication du correctif, F5 et le CERT-FR n'ont signalé aucune exploitation confirmée dans la nature. La vulnérabilité reste néanmoins critique en raison de son caractère non authentifié et de la disponibilité d'un PoC fonctionnel, ce qui rend une exploitation opportuniste plausible dans les jours suivant la divulgation. La fenêtre d'application des correctifs doit donc être réduite au minimum, particulièrement pour les instances NGINX exposées sur Internet.
La priorité absolue va aux instances NGINX (Open Source et Plus) exposées sur Internet, en raison de CVE-2026-42945 exploitable sans authentification. Viennent ensuite les équipements BIG-IP configurés en mode appliance, particulièrement vulnérables à CVE-2026-41225 sur iControl REST, puis les déploiements BIG-IP exposant une interface d'administration accessible à des comptes à privilèges élevés. Les composants NGINX App Protect WAF et NGINX Ingress Controller doivent être traités selon leur niveau d'exposition réseau.
Les matrices détaillées de correspondance entre versions vulnérables et versions corrigées sont publiées dans le bulletin K000160932 sur le portail my.f5.com. Chaque CVE associée y dispose de sa propre page renseignant les branches affectées, les versions correctives et les éventuelles mesures de contournement applicables en attendant la mise à jour.
Enfin, ce bulletin trimestriel rappelle que F5 maintient un rythme régulier de publication. Intégrer ces fenêtres dans le calendrier de patch management, plutôt que de les traiter au cas par cas, reste la meilleure manière d'éviter l'accumulation de dette de sécurité sur des équipements aussi exposés.
