CVE-2024-39512

Junos OS Evolved: User is not logged out when the console cable is disconnected

CVSS 7 HIGHEPSS 0.2%CWE-1263

En resumen

Cuando alguien desconecta físicamente el cable de consola de un dispositivo Juniper, la sesión del usuario conectado no se cierra automáticamente. Esto permite que un atacante con acceso físico reconecte y asuma la cuenta activa, potencialmente obteniendo privilegios administrativos.

Detalle técnico

Una vulnerabilidad de control inadecuado de acceso físico en el puerto de consola de Junos OS Evolved permite que un atacante con acceso físico reanude una sesión activa cuando se desconecta y reconecta el cable. La falla radica en que el dispositivo no termina la sesión del usuario al desconectar el cable, permitiendo escalación de privilegios si la sesión desconectada tenía permisos elevados. Las versiones afectadas incluyen 23.2R2-EVO anterior a 23.2R2-S1-EVO y 23.4R1-EVO anterior a 23.4R2-EVO.

Resumen generado y traducido por IA a partir de la descripción oficial.

An Improper Physical Access Control vulnerability in the console port control of Juniper Networks Junos OS Evolved allows an attacker with physical access to the device to get access to a user account. When the console cable is disconnected, the logged in user is not logged out. This allows a malicious attacker with physical access to the console to resume a previous session and possibly gain administrative privileges. This issue affects Junos OS Evolved: * from 23.2R2-EVO before 23.2R2-S1-EVO, * from 23.4R1-EVO before 23.4R2-EVO.

CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Productos afectados

Juniper Networks · Junos OS Evolved

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://supportportal.juniper.net/JSA82977