Juniper Networks 修复交换机、防火墙中的多个漏洞
2024-1-31 17:45:28 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Juniper Networks 发布多个补丁,修复了SRX系列防火墙和 EX 系列交换机的 J-Web 组件中的多个漏洞,其中包含一个高危漏洞。

J-Web 接口可从浏览器访问,允许管理员监控、配置、调试和管理运行 Junos 操作系统的设备。其中最严重的漏洞是一个XSS漏洞CVE-2024-21620(CVSS评分8.8),可使攻击者构造恶意 URL,当用户访问时可导致通过用户权限(包括管理员权限)执行任意命令。

Juniper Networks 表示该漏洞已在 Junos OS 版本 20.4R3-S10、21.2R3-S8、21.4R3-S6、22.1R3-S5、22.2R3-S3、22.3R3-S2、22.4R3-S1、23.2R2、 23.4R2和后续发布中修复。

另外一个涉及  J-Web 接口的漏洞是CVE-2024-21619,可导致未认证攻击者访问敏感信息。Juniper Networks 发布安全公告指出,“当用户登录时,包含设备配置的临时文件会在 /cache 文件夹中创建。未认证攻击者之后通过向设备发送特定请求猜测文件名称的方式,访问文件。成功利用该漏洞可披露配置信息。”该漏洞已在 Junos OS 版本 20.4R3-S9、21.2R3-S7、21.3R3-S5、21.4R3-S6、22.1R3-S5、22.2R3-S3、22.3R3-S2、22.4R3、23.2R1-S2、23.2R2、23.4R1及后续版本中修复。

Juniper Networks 公司还修复了两个认证缺失漏洞,它们可导致未认证攻击者通过网络发送构造的请求,并通过 J-Web 上传任意文件 (CVE-2023-36846) 或下载和上传任意文件 (CVE-2023-36851)。

成功利用这些漏洞可影响文件系统的完整性。CVE-2023-36851也可与其它漏洞组合利用。

Juniper Networks 公司并未提及这些漏洞是否遭利用。

美国网络安全机构 CISA 建议组织机构查看 Juniper 公司的安全公告并尽快应用可用补丁,提醒称攻击者可利用这些漏洞控制受影响系统。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Juniper 提醒注意防火墙和交换机中的严重RCE漏洞

CISA 提醒注意已遭活跃利用的 Juniper 预认证 RCE 利用链

Juniper Networks 修复Junos OS中的30多个漏洞

速修复!Juniper Junos OS 漏洞使设备易受攻击

原文链接
https://www.securityweek.com/juniper-networks-patches-vulnerabilities-in-switches-firewalls/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518790&idx=2&sn=8654a2f71be0f352dbd073de6482ef88&chksm=ea94bb2cdde3323a808c47f00e4a82d449bdf6bfa0d08ea05135862eb834e999aafa2ff7b965&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh