Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 05 février 2026 N° CERTFR-2026-AVI-0120 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans les produits F5 Gestion du document Référence CERTFR-2026-AVI-0120 Titre Multiples vulnérabilités dans les produits F5 Date de la première version 05 février 2026 Date de la dernière version 05 février 2026 Source(s) Bulletin de sécurité F5 K000156643 du 04 février 2026 Bulletin de sécurité F5 K000156644 du 04 février 2026 Bulletin de sécurité F5 K000157960 du 04 février 2026 Bulletin de sécurité F5 K000158072 du 04 février 2026 Bulletin de sécurité F5 K000158931 du 04 février 2026 Bulletin de sécurité F5 K000159076 du 04 février 2026 Bulletin de sécurité F5 K000159824 du 05 février 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à l'intégrité des données Atteinte à la confidentialité des données Contournement de la politique de sécurité Déni de service à distance Systèmes affectés APM Clients versions 7.2.x antérieures à 7.2.6.2 BIG-IP Advanced WAF/ASM versions 17.1.x antérieures à 17.1.3 BIG-IP Container Ingress Services for Kubernetes and OpenShift versions 2.x antérieures à 2.20.2 BIG-IP versions 17.1.x antérieures à 17.1.3.1 BIG-IP versions 17.5.x antérieures à 17.5.1.4 BIG-IP versions 21.x antérieures à 21.0.0.1 Nginx Gateway Fabric versions 1.x et 2.x sans la version corrective de Nginx plus ou Nginx Open Source Nginx Ingress Controller versions 3.x à 5.x sans la version corrective de Nginx plus ou Nginx Open Source Nginx Instance Manager versions 2.x sans la version corrective de Nginx Open Source Nginx Open Source versions 1.29.x antérieures à 1.29.5 Nginx Open Source versions antérieures à 1.28.2 Nginx Plus versions R32 antérieures à R32 P4 Nginx Plus versions R35 antérieures à R35 P1 Nginx Plus versions R36 antérieures à R36 P1 Résumé De multiples vulnérabilités ont été découvertes dans les produits F5. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité F5 K000156643 du 04 février 2026 https://my.f5.com/manage/s/article/K000156643 Bulletin de sécurité F5 K000156644 du 04 février 2026 https://my.f5.com/manage/s/article/K000156644 Bulletin de sécurité F5 K000157960 du 04 février 2026 https://my.f5.com/manage/s/article/K000157960 Bulletin de sécurité F5 K000158072 du 04 février 2026 https://my.f5.com/manage/s/article/K000158072 Bulletin de sécurité F5 K000158931 du 04 février 2026 https://my.f5.com/manage/s/article/K000158931 Bulletin de sécurité F5 K000159076 du 04 février 2026 https://my.f5.com/manage/s/article/K000159076 Bulletin de sécurité F5 K000159824 du 05 février 2026 https://my.f5.com/manage/s/article/K000159824 Référence CVE CVE-2026-1642 https://www.cve.org/CVERecord?id=CVE-2026-1642 Référence CVE CVE-2026-20730 https://www.cve.org/CVERecord?id=CVE-2026-20730 Référence CVE CVE-2026-20732 https://www.cve.org/CVERecord?id=CVE-2026-20732 Référence CVE CVE-2026-22548 https://www.cve.org/CVERecord?id=CVE-2026-22548 Référence CVE CVE-2026-22549 https://www.cve.org/CVERecord?id=CVE-2026-22549