BDU:2023-07267

Опубликовано: 27 сент. 2023

Источник: fstec

CVSS3: 5.3

CVSS2: 10

EPSS Средний

Описание

Уязвимость интерфейса J-Web операционных систем Juniper Networks Junos OS связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Juniper Networks Inc.

Наименование ПО

JunOS

Версия ПО

от 21.3 до 21.3R3-S5 (JunOS)

от 22.3 до 22.3R2-S2 (JunOS)

от 22.4 до 22.4R2-S1 (JunOS)

от 22.4 до 22.4R3 (JunOS)

до 20.4R3-S9 (JunOS)

от 21.1 до 21.2R3-S7 (JunOS)

от 21.3 до 21.3R3-S5 (JunOS)

от 21.4 до 21.4R3-S5 (JunOS)

от 22.1 до 22.1R3-S4 (JunOS)

от 22.2 до 22.2R3-S2 (JunOS)

от 22.3 до 22.3R2-S2 (JunOS)

от 22.3 до 22.3R3-S1 (JunOS)

от 22.4 до 22.4R2-S1 (JunOS)

от 22.4 до 22.4R3 (JunOS)

от 23.2 до 23.2R1-S1 (JunOS)

от 23.2 до 23.2R2 (JunOS)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Juniper Networks Inc. JunOS от 21.3 до 21.3R3-S5

Juniper Networks Inc. JunOS от 22.3 до 22.3R2-S2

Juniper Networks Inc. JunOS от 22.4 до 22.4R2-S1

Juniper Networks Inc. JunOS от 22.4 до 22.4R3

Juniper Networks Inc. JunOS до 20.4R3-S9

Juniper Networks Inc. JunOS от 21.1 до 21.2R3-S7

Juniper Networks Inc. JunOS от 21.3 до 21.3R3-S5

Juniper Networks Inc. JunOS от 21.4 до 21.4R3-S5

Juniper Networks Inc. JunOS от 22.1 до 22.1R3-S4

Juniper Networks Inc. JunOS от 22.2 до 22.2R3-S2

Juniper Networks Inc. JunOS от 22.3 до 22.3R2-S2

Juniper Networks Inc. JunOS от 22.3 до 22.3R3-S1

Juniper Networks Inc. JunOS от 22.4 до 22.4R2-S1

Juniper Networks Inc. JunOS от 22.4 до 22.4R3

Juniper Networks Inc. JunOS от 23.2 до 23.2R1-S1

Juniper Networks Inc. JunOS от 23.2 до 23.2R2

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://supportportal.juniper.net/JSA72300

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-36851
CVE

EPSS

Процентиль: 94%

0.15289

Средний

5.3 Medium

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-36851

CVSS3: 5.3

nvd

больше 2 лет назад

A Missing Authentication for Critical Function vulnerability in Juniper Networks Junos OS on SRX Series allows an unauthenticated, network-based attacker to cause limited impact to the file system integrity. With a specific request to webauth_operation.php that doesn't require authentication, an attacker is able to upload and download arbitrary files via J-Web, leading to a loss of integrity or confidentiality, which may allow chaining to other vulnerabilities. This issue affects Juniper Networks Junos OS on SRX Series: * 21.2 versions prior to 21.2R3-S8; * 21.4 versions prior to 21.4R3-S6; * 22.1 versions prior to 22.1R3-S5; * 22.2 versions prior to 22.2R3-S3; * 22.3 versions prior to 22.3R3-S2; * 22.4 versions prior to 22,4R2-S2, 22.4R3; * 23.2 versions prior to 23.2R1-S2, 23.2R2.

GHSA-792v-3cgw-26xq

CVSS3: 5.3

github

больше 2 лет назад

A Missing Authentication for Critical Function vulnerability in Juniper Networks Junos OS on SRX Series allows an unauthenticated, network-based attacker to cause limited impact to the file system integrity. With a specific request to webauth_operation.php that doesn't require authentication, an attacker is able to upload arbitrary files via J-Web, leading to a loss of integrity for a certain part of the file system, which may allow chaining to other vulnerabilities. This issue affects Juniper Networks Junos OS on SRX Series: * 22.4 versions prior to 22,4R2-S2, 22.4R3; * 23.2 versions prior to 23.2R2.

EPSS

Процентиль: 94%

0.15289

Средний

5.3 Medium

CVSS3

10 Critical

CVSS2