Описание
A Missing Authentication for Critical Function vulnerability in Juniper Networks Junos OS on EX Series allows an unauthenticated, network-based attacker to cause limited impact to the file system integrity.
With a specific request to installAppPackage.php that doesn't require authentication an attacker is able to upload arbitrary files via J-Web, leading to a loss of
integrity
for a certain
part of the file system, which may allow chaining to other vulnerabilities.
This issue affects Juniper Networks Junos OS on EX Series:
- All versions prior to 20.4R3-S8;
- 21.1 versions 21.1R1 and later;
- 21.2 versions prior to 21.2R3-S6;
- 21.3 versions
prior to
21.3R3-S5;
- 21.4 versions
prior to
21.4R3-S4;
- 22.1 versions
prior to
22.1R3-S3;
- 22.2 versions
prior to
22.2R3-S1;
- 22.3 versions
prior to
22.3R2-S2, 22.3R3;
- 22.4 versions
prior to
22.4R2-S1, 22.4R3.
Ссылки
- Vendor Advisory
- Vendor Advisory
- US Government Resource
Уязвимые конфигурации
Конфигурация 1Версия до 20.4 (исключая)
Одновременно
Одно из
cpe:2.3:o:juniper:junos:*:*:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:20.4:-:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:20.4:r1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:20.4:r1-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:20.4:r2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:20.4:r2-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:20.4:r2-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:20.4:r3:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:20.4:r3-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:20.4:r3-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:20.4:r3-s3:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:20.4:r3-s4:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:20.4:r3-s5:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:20.4:r3-s6:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:20.4:r3-s7:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.1:r1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.1:r1-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.1:r2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.1:r2-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.1:r2-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.1:r3:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.1:r3-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.1:r3-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.1:r3-s3:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.1:r3-s4:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.1:r3-s5:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.2:-:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.2:r1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.2:r1-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.2:r1-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.2:r2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.2:r2-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.2:r2-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.2:r3:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.2:r3-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.2:r3-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.2:r3-s3:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.2:r3-s4:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.2:r3-s5:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.3:-:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.3:r1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.3:r1-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.3:r1-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.3:r2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.3:r2-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.3:r2-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.3:r3:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.3:r3-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.3:r3-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.3:r3-s3:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.3:r3-s4:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.4:-:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.4:r1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.4:r1-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.4:r1-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.4:r2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.4:r2-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.4:r2-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.4:r3:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.4:r3-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.4:r3-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.4:r3-s3:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:21.4:r3-s4:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.1:r1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.1:r1-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.1:r1-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.1:r2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.1:r2-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.1:r2-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.1:r3:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.1:r3-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.1:r3-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.2:r1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.2:r1-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.2:r1-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.2:r2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.2:r2-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.2:r2-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.2:r3:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.2:r3-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.3:r1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.3:r1-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.3:r1-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.3:r2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.3:r2-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.4:r1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.4:r1-s1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.4:r1-s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:22.4:r2:*:*:*:*:*:*
Одно из
cpe:2.3:h:juniper:ex2200:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex2200-c:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex2200-vc:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex2300:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex2300-24mp:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex2300-24p:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex2300-24t:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex2300-48mp:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex2300-48p:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex2300-48t:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex2300-c:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex2300m:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex3200:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex3300:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex3300-vc:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex3400:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4200:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4200-vc:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-24p:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-24p-s:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-24t:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-24t-s:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-32f:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-32f-dc:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-32f-s:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-48mp:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-48mp-s:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-48p:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-48p-s:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-48t:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-48t-afi:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-48t-dc:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-48t-dc-afi:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-48t-s:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-48tafi:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-48tdc:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-48tdc-afi:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-mp:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300-vc:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4300m:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4400:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4500:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4500-vc:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4550:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4550-vc:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4550\/vc:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4600:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4600-vc:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex4650:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex6200:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex6210:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex8200:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex8200-vc:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex8208:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex8216:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex9200:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex9204:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex9208:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex9214:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex9250:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex9251:-:*:*:*:*:*:*:*
cpe:2.3:h:juniper:ex9253:-:*:*:*:*:*:*:*
EPSS
Процентиль: 100%
0.94042
Критический
5.3 Medium
CVSS3
Дефекты
CWE-306
CWE-306
Связанные уязвимости
CVSS3: 5.3
github
больше 2 лет назад
A Missing Authentication for Critical Function vulnerability in Juniper Networks Junos OS on EX Series allows an unauthenticated, network-based attacker to cause limited impact to the file system integrity. With a specific request that doesn't require authentication an attacker is able to upload arbitrary files via J-Web, leading to a loss of integrity for a certain part of the file system, which may allow chaining to other vulnerabilities. This issue affects Juniper Networks Junos OS on EX Series: * All versions prior to 20.4R3-S8; * 21.2 versions prior to 21.2R3-S6; * 21.3 versions prior to 21.3R3-S5; * 21.4 versions prior to 21.4R3-S4; * 22.1 versions prior to 22.1R3-S3; * 22.2 versions prior to 22.2R3-S1; * 22.3 versions prior to 22.3R2-S2, 22.3R3; * 22.4 versions prior to 22.4R2-S1, 22.4R3.
CVSS3: 5.3
fstec
больше 2 лет назад
Уязвимость интерфейса J-Web операционных систем Juniper Networks Junos OS устройств серии EX, позволяющая нарушителю оказать воздействие на целостность данных и выполнить произвольный код
EPSS
Процентиль: 100%
0.94042
Критический
5.3 Medium
CVSS3
Дефекты
CWE-306
CWE-306