Am 26. Oktober veröffentlichte F5 zwei Advisories zu Schwachstellen im Konfigurationsprogramm von BIG-IP (all modules). Die Schwachstelle CVE-2023-46747 ermöglicht es entfernten Angreifenden mit Zugriff auf das Traffic Management User Interface (TMUI) beliebigen Code mit Administratoren Privilegien auszuführen. Sie erhielt eine CVSS-Bewertung von 9.8 ("kritisch").

Die zweite Schwachstelle CVE-2023-46748 ermöglicht einen authentifizierten Angreifenden mit Zugriff auf TMUI eine SQL-Injection durchzuführen, um System-Befehle auszuführen und wurde mit CVSS-Score von 8.8 ("hoch") bewertet.

Die IT-Sicherheitsforschenden von praetorian haben zur der Schwachstelle CVE-2023-46747 einen detaillierten technischen Bericht veröffentlicht. In diesem wird auf die Ähnlichkeit der Schwachstelle zu CVE-2020-5902 eingegangen, die ebenfalls kurz nach dem Bekanntwerden ausgenutzt wurde, und wie die Sicherheitslücke gefunden wurde. Die Ausnutzung von CVE-2023-46747 wird durch eine ältere Schwachstelle CVE-2022-26377 ermöglicht. Diese wurde zwar von F5 in einem Advisory bekannt gegeben, jedoch nicht mit einem Patch behoben. Die Schwachstelle CVE-2022-26377 kann für Request Smuggling ausgenutzt werden und betrifft die in BIG-IP verwendete Apache Version.

In dem Blogbeitrag des IT-Sicherheitsuntermehmens tenable und in den Advisories von F5 wird bereits von beobachteten Ausnutzungen von CVE-2023-46747 und CVE-2023-46748 gesprochen. Ebenfalls wird auf ein öffentlich verfügbares Proof-of-Concept verwiesen.