CVE-2024-39565
Junos OS: J-Web: An unauthenticated, network-based attacker can perform XPATH injection attack against a device.
En resumen
Una falla en la interfaz J-Web de Juniper permite que atacantes sin credenciales inyecten comandos maliciosos en consultas de búsqueda, potencialmente tomando control total de dispositivos de red cuando un administrador está conectado o ha usado el sistema recientemente.
Detalle técnico
Una vulnerabilidad de inyección XPath (CWE-643) en J-Web permite que atacantes no autenticados, basados en red, ejecuten comandos arbitrarios con credenciales de administrador cuando existe una sesión activa o recientemente cerrada. La falla no requiere autenticación y puede otorgar control total del dispositivo; las versiones afectadas abarcan lanzamientos de Junos OS desde 21.2 hasta 23.4.
Resumen generado y traducido por IA a partir de la descripción oficial.
An Improper Neutralization of Data within XPath Expressions ('XPath Injection') vulnerability in J-Web shipped with Juniper Networks Junos OS allows an unauthenticated, network-based attacker to execute remote commands on the target device.
While an administrator is logged into a J-Web session or has previously logged in and subsequently logged out of their J-Web session, the attacker can arbitrarily execute commands on the target device with the other user's credentials. In the worst case, the attacker will have full control over the device.
This issue affects Junos OS:
* All versions before 21.2R3-S8,
* from 21.4 before 21.4R3-S7,
* from 22.2 before 22.2R3-S4,
* from 22.3 before 22.3R3-S3,
* from 22.4 before 22.4R3-S2,
* from 23.2 before 23.2R2,
* from 23.4 before 23.4R1-S1, 23.4R2.
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/AU:Y/V:C/RE:M/U:Amber
Productos afectados
Juniper Networks, Inc. · Junos OS¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →