Juniper Networks выпустила внеполосные обновления для устранения серьезных недостатков в сериях SRX и EX, которые могут быть использованы злоумышленниками для получения контроля над уязвимыми системами.
Уязвимости, отслеживаемые как CVE-2024-21619 и CVE-2024-21620, коренятся в компоненте J-Web и влияют на все версии ОС Junos. Два других недостатка, CVE-2023-36846 и CVE-2023-36851, были ранее раскрыты компанией в августе 2023 года.
Стоит отметить, что CVE-2023-36846 и CVE-2023-36851 были добавлены в каталог известных эксплуатируемых уязвимостей (KEV) в ноябре 2023 года Агентством кибербезопасности и инфраструктурной безопасности США (CISA) на основании свидетельств активного использования.
Ранее в этом месяце Juniper Networks также выпустила исправления для устранения критической уязвимости в тех же продуктах (CVE-2024-21591, оценка CVSS: 9,8), которая может позволить злоумышленнику вызвать отказ в обслуживании (DoS) или удаленное выполнение кода и получить права root на устройствах.
Уязвимости, отслеживаемые как CVE-2024-21619 и CVE-2024-21620, коренятся в компоненте J-Web и влияют на все версии ОС Junos. Два других недостатка, CVE-2023-36846 и CVE-2023-36851, были ранее раскрыты компанией в августе 2023 года.
- CVE-2024-21619 (оценка CVSS: 5.3) - Уязвимость при отсутствующей аутентификации, которая может привести к раскрытию конфиденциальной информации о конфигурации
- CVE-2024-21620 (оценка CVSS: 8,8) - Уязвимость межсайтового скриптинга (XSS), которая может приводить к выполнению произвольных команд с разрешениями цели посредством специально созданного запроса
- CVE-2024-21619 - 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S6, 22.1R3-S5, 22.2R3-S3, 22.3R3-S2, 22.4R3, 23.2R1-S2, 23.2R2, 23.4R1 и все последующие выпуски
- CVE-2024-21620 - 20.4R3-S10, 21.2R3-S8, 21.4R3-S6, 22.1R3-S5, 22.2R3-S3, 22.3R3-S2, 22.4R3-S1, 23.2R2, 23.4R2 и все последующие выпуски
Стоит отметить, что CVE-2023-36846 и CVE-2023-36851 были добавлены в каталог известных эксплуатируемых уязвимостей (KEV) в ноябре 2023 года Агентством кибербезопасности и инфраструктурной безопасности США (CISA) на основании свидетельств активного использования.
Ранее в этом месяце Juniper Networks также выпустила исправления для устранения критической уязвимости в тех же продуктах (CVE-2024-21591, оценка CVSS: 9,8), которая может позволить злоумышленнику вызвать отказ в обслуживании (DoS) или удаленное выполнение кода и получить права root на устройствах.
