CVE-2020-1606

Опубликовано: 15 янв. 2020

Источник: nvd

CVSS3: 5.4

CVSS3: 8.1

CVSS2: 6.5

EPSS Низкий

Описание

A path traversal vulnerability in the Juniper Networks Junos OS device may allow an authenticated J-web user to read files with 'world' readable permission and delete files with 'world' writeable permission. This issue does not affect system files that can be accessed only by root user. This issue affects Juniper Networks Junos OS: 12.3 versions prior to 12.3R12-S13; 12.3X48 versions prior to 12.3X48-D85 on SRX Series; 14.1X53 versions prior to 14.1X53-D51; 15.1F6 versions prior to 15.1F6-S13; 15.1 versions prior to 15.1R7-S5; 15.1X49 versions prior to 15.1X49-D180 on SRX Series; 15.1X53 versions prior to 15.1X53-D238 on QFX5200/QFX5110 Series; 16.1 versions prior to 16.1R4-S13, 16.1R7-S5; 16.2 versions prior to 16.2R2-S10; 17.1 versions prior to 17.1R3-S1; 17.2 versions prior to 17.2R1-S9, 17.2R3-S2; 17.3 versions prior to 17.3R2-S5, 17.3R3-S5; 17.4 versions prior to 17.4R2-S9, 17.4R3; 18.1 versions prior to 18.1R3-S8; 18.2 versions prior to 18.2R3; 18.3 versions prior to 18.3R2-S3, 1

Ссылки

https://kb.juniper.net/JSA10985
Vendor Advisory
https://kb.juniper.net/JSA10985
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:juniper:junos:12.3:-:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r10-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r10-s2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r11:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r12:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r12-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r12-s10:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r12-s11:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r12-s12:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r12-s3:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r12-s4:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r12-s6:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r12-s8:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r13:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r3:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r4:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r5:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r6:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r7:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r8:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3:r9:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:14.1x53:-:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:14.1x53:d10:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:14.1x53:d15:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:14.1x53:d16:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:14.1x53:d25:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:14.1x53:d26:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:14.1x53:d27:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:14.1x53:d30:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:14.1x53:d35:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:14.1x53:d40:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:14.1x53:d45:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:14.1x53:d48:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:14.1x53:d49:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1:f6:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1:f6-s12:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1:f6-s3:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1:f6-s8:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1:r7-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1:r7-s2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1:r7-s3:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1:r7-s4:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.1:-:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.1:r1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.1:r2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.1:r3:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.1:r3-s10:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.1:r4:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.1:r4-s3:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.1:r4-s6:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.1:r4-s9:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.1:r5-s4:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.1:r6-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.1:r7:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.1:r7-s2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.1:r7-s3:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.1:r7-s4:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.2:-:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.2:r1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.2:r2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.2:r2-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.2:r2-s2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.2:r2-s5:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.2:r2-s6:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.2:r2-s7:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.2:r2-s8:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:16.2:r2-s9:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.1:-:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.1:r1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.1:r2-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.1:r2-s10:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.1:r2-s2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.1:r2-s3:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.1:r2-s4:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.1:r2-s5:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.1:r2-s6:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.1:r2-s7:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.1:r2-s9:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.1:r3:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.2:-:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.2:r1-s2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.2:r1-s4:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.2:r1-s7:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.2:r1-s8:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.2:r2-s6:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.2:r2-s7:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.2:r3:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.2:r3-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:-:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:r1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:r1-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:r1-s2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:r1-s4:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:r1-s6:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:r1-s7:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:r2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:r2-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:r2-s2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:r2-s3:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:r2-s4:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:r2-s5:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:r2-s6:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:r2-s7:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:17.4:r2-s8:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.1:-:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.1:r2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.1:r2-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.1:r2-s2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.1:r2-s4:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.1:r3:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.1:r3-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.1:r3-s2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.1:r3-s3:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.1:r3-s4:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.1:r3-s5:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.1:r3-s6:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.1:r3-s7:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.2:-:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.2:r1-s5:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.2:r2-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.2:r2-s2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.2:r2-s3:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.2:r2-s4:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.3:-:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.3:r1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.3:r1-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.3:r1-s2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.3:r1-s3:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.3:r2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.3:r2-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.3:r2-s2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.4:-:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.4:r1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.4:r1-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:18.4:r1-s2:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:19.1:r1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:19.1:r1-s1:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:19.1:r1-s3:*:*:*:*:*:*

Конфигурация 2

Одновременно

Одно из

cpe:2.3:o:juniper:junos:12.3x48:d10:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3x48:d15:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3x48:d25:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3x48:d70:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3x48:d75:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:12.3x48:d80:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d10:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d150:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d160:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d170:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d20:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d30:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d35:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d40:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d45:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d50:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d55:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d60:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d65:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d70:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d75:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x49:d80:*:*:*:*:*:*

Одно из

cpe:2.3:h:juniper:srx100:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx110:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx1400:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx1500:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx210:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx220:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx240:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx300:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx320:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx340:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx3400:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx345:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx3600:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx4100:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx4200:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx4600:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx5400:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx550:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx5600:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx5800:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:srx650:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

Одно из

cpe:2.3:o:juniper:junos:15.1x53:d20:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d21:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d210:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d230:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d231:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d232:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d233:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d234:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d235:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d236:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d237:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d25:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d30:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d31:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d32:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d33:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d34:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d40:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d45:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d56:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d60:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d61:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d62:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d63:*:*:*:*:*:*

cpe:2.3:o:juniper:junos:15.1x53:d65:*:*:*:*:*:*

Одно из

cpe:2.3:h:juniper:qfx5110:-:*:*:*:*:*:*:*

cpe:2.3:h:juniper:qfx5200:-:*:*:*:*:*:*:*

EPSS

Процентиль: 54%

0.00319

Низкий

5.4 Medium

CVSS3

8.1 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-22

Связанные уязвимости

GHSA-cvvm-qm6p-fg85

github

больше 3 лет назад

BDU:2020-00491

CVSS3: 5.4

fstec

около 6 лет назад

Уязвимость операционной системы Junos, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить доступ к файлам с разрешением на чтение «world» или удалять произвольные файлы с разрешением «world»

EPSS

Процентиль: 54%

0.00319

Низкий

5.4 Medium

CVSS3

8.1 High

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-22