CVE-2022-22189
Contrail Service Orchestration: An authenticated local user may have their permissions elevated via the device via management interface without authentication
Em resumo
Um usuário que já está autenticado no Contrail Service Orchestration pode aumentar seus privilégios na máquina local sem autenticação adicional, tomando controle total do sistema.
Detalhe técnico
Uma falha de atribuição incorreta de propriedade no CSO 6.0.0 (anterior ao patch v3) permite que um usuário autenticado localmente escale privilégios via interface de gerenciamento sem re-autenticação, resultando em controle não autorizado do sistema. O ataque requer acesso local prévio, mas contorna verificações de permissão na instalação on-premises afetada.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An Incorrect Ownership Assignment vulnerability in Juniper Networks Contrail Service Orchestration (CSO) allows a locally authenticated user to have their permissions elevated without authentication thereby taking control of the local system they are currently authenticated to. This issue affects: Juniper Networks Contrail Service Orchestration 6.0.0 versions prior to 6.0.0 Patch v3 on On-premises installations. This issue does not affect Juniper Networks Contrail Service Orchestration On-premises versions prior to 6.0.0.
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
Juniper Networks · Contrail Service OrchestrationQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://kb.juniper.net/JSA69498