CVE-2022-22189
Contrail Service Orchestration: An authenticated local user may have their permissions elevated via the device via management interface without authentication
En resumen
Un usuario ya autenticado en Contrail Service Orchestration puede elevar sus privilegios en la máquina local sin autenticación adicional, obteniendo control total del sistema.
Detalle técnico
Una vulnerabilidad de asignación incorrecta de propiedad en CSO 6.0.0 (anterior al parche v3) permite que un usuario autenticado localmente escale privilegios mediante la interfaz de administración sin re-autenticación, resultando en control no autorizado del sistema. El ataque requiere acceso local previo pero elude verificaciones de permisos en la instalación on-premises afectada.
Resumen generado y traducido por IA a partir de la descripción oficial.
An Incorrect Ownership Assignment vulnerability in Juniper Networks Contrail Service Orchestration (CSO) allows a locally authenticated user to have their permissions elevated without authentication thereby taking control of the local system they are currently authenticated to. This issue affects: Juniper Networks Contrail Service Orchestration 6.0.0 versions prior to 6.0.0 Patch v3 on On-premises installations. This issue does not affect Juniper Networks Contrail Service Orchestration On-premises versions prior to 6.0.0.
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Productos afectados
Juniper Networks · Contrail Service Orchestration¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://kb.juniper.net/JSA69498