聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这四个漏洞的CVSS评分均为 9.8,属于“严重”漏洞,影响 SRX 和 EX 序列上 Junos OS 所有版本。
2023年8月17日,Juniper 公司指出,“通过组合利用这些漏洞,未认证的网络攻击者可在设备上远程执行代码。” J-Web 接口可使用户配置、管理和监控 Junos OS 设备。这些漏洞简述如下:
CVE-2023-36844和CVE-2023-36845(CVSS评分5.3)是位于 J-Web 中的两个 PHP 外部变量修改漏洞,可使未认证的网络攻击者控制某些重要的环境变量。
CVE-2023-36846和CVE-2023-36847(CVSS评分5.3)是位于 Jniper Networks Junos OS 中的两个关键函数缺乏认证漏洞,可导致未认证的网络攻击者对文件系统完整性造成有限影响。
威胁着可发送特殊构造的请求,修改某些 PHP 环境变量或者通过 J-Web上传任意文件,成功利用上述问题。
这些漏洞已在如下版本中修复:
EX 系列:Junos OS 版本 20.4R3-S8、 21.2R3-S6、 21.3R3-S5、 21.4R3-S4、 22.1R3-S3、 22.2R3-S1、 22.3R2-S2、 22.3R3、 22.4R2-S1、 22.4R3和23.2R1。
SRX 系列:Junos OS 版本20.4R3-S8、21.2R3-S6、21.3R3-S5、21.4R3-S5、22.1R3-S3、22.2R3-S2、 22.3R2-S2、 22.3R3、22.4R2-S1、22.4R3和23.2R1。
建议用户应用必要修复方案,缓解潜在的远程代码执行威胁。Juniper Networks 公司建议用户禁用 J-Web 或仅允许访问受信任主机,作为缓解措施。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...