J-Web 接口可从浏览器访问，允许管理员监控、配置、调试和管理运行 Junos 操作系统的设备。其中最严重的漏洞是一个XSS漏洞CVE-2024-21620（CVSS评分8.8），可使攻击者构造恶意 URL，当用户访问时可导致通过用户权限（包括管理员权限）执行任意命令。

Juniper Networks 表示该漏洞已在 Junos OS 版本 20.4R3-S10、21.2R3-S8、21.4R3-S6、22.1R3-S5、22.2R3-S3、22.3R3-S2、22.4R3-S1、23.2R2、 23.4R2和后续发布中修复。

另外一个涉及  J-Web 接口的漏洞是CVE-2024-21619，可导致未认证攻击者访问敏感信息。Juniper Networks 发布安全公告指出，“当用户登录时，包含设备配置的临时文件会在 /cache 文件夹中创建。未认证攻击者之后通过向设备发送特定请求猜测文件名称的方式，访问文件。成功利用该漏洞可披露配置信息。”该漏洞已在 Junos OS 版本 20.4R3-S9、21.2R3-S7、21.3R3-S5、21.4R3-S6、22.1R3-S5、22.2R3-S3、22.3R3-S2、22.4R3、23.2R1-S2、23.2R2、23.4R1及后续版本中修复。

Juniper Networks 公司还修复了两个认证缺失漏洞，它们可导致未认证攻击者通过网络发送构造的请求，并通过 J-Web 上传任意文件 (CVE-2023-36846) 或下载和上传任意文件 (CVE-2023-36851)。

成功利用这些漏洞可影响文件系统的完整性。CVE-2023-36851也可与其它漏洞组合利用。

Juniper Networks 公司并未提及这些漏洞是否遭利用。

美国网络安全机构 CISA 建议组织机构查看 Juniper 公司的安全公告并尽快应用可用补丁，提醒称攻击者可利用这些漏洞控制受影响系统。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~