Aktywnie wykorzystywana w atakach
Juniper Junos OS SRX Series Missing Authentication for Critical Function Vulnerability
Juniper — Junos OS · Figuruje w katalogu CISA KEV od 2023-11-13. Oznacza to potwierdzone ataki w środowisku produkcyjnym.
Wymagane działanie: Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
CVE-2023-36846
ŚrednieCVSS 5.3KEVPrawdopodobieństwo exploitacji (EPSS)
Bardzo wysokie ryzykoPercentyl 100 — wyżej niż 100% wszystkich znanych CVE
Streszczenie
W Juniper Networks Junos OS na serii SRX występuje podatność związana z brakiem uwierzytelnienia dla krytycznej funkcji, która pozwala nieautoryzowanemu atakującemu na przesyłanie dowolnych plików przez J-Web, co prowadzi do utraty integralności systemu plików.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wprowadzenia złośliwych plików, co może prowadzić do dalszych ataków na system. Utrata integralności systemu plików może wpłynąć na stabilność i bezpieczeństwo całej infrastruktury.
Rekomendacja
Zaleca się aktualizację Junos OS do wersji, która nie jest podatna na tę lukę, aby zabezpieczyć system przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
A Missing Authentication for Critical Function vulnerability in Juniper Networks Junos OS on SRX Series allows an unauthenticated, network-based attacker to cause limited impact to the file system integrity. With a specific request to user.php that doesn't require authentication an attacker is able to upload arbitrary files via J-Web, leading to a loss of integrity for a certain part of the file system, which may allow chaining to other vulnerabilities. This issue affects Juniper Networks Junos OS on SRX Series: * All versions prior to 20.4R3-S8; * 21.1 versions 21.1R1 and later; * 21.2 versions prior to 21.2R3-S6; * 21.3 versions prior to 21.3R3-S5; * 21.4 versions prior to 21.4R3-S5; * 22.1 versions prior to 22.1R3-S3; * 22.2 versions prior to 22.2R3-S2; * 22.3 versions prior to 22.3R2-S2, 22.3R3; * 22.4 versions prior to 22.4R2-S1, 22.4R3.

