Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a Juniper Networks Junos OS, que permitirían a un atacante realizar ejecución remota de código (RCE), cross-site scripting (XSS), entre otros.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta” y 4 (cuatro) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2022-22241, de severidad “alta”, con una puntuación asignada de 8.1. Esta vulnerabilidad se debe a una validación de entrada incorrecta en el componente J-Web de Juniper Networks Junos OS. Esto permitiría a un atacante no autenticado realizar ejecución remota de código (RCE).
- CVE-2022-22246, de severidad “alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad de inclusión de archivos locales (LFI) se debe a una falla en la gestión de archivos en Juniper Networks Junos OS. Esto permitiría a un atacante autenticado sin privilegios administrativos ejecutar archivos PHP.
- CVE-2022-22242, de severidad “media” con una puntuación asignada de 6.1. Esta vulnerabilidad se debe a una falla de validación de entradas provistas por el usuario en el componente J-Web de Juniper Networks Junos OS. Esto permitiría a un atacante autenticado realizar cross-site scripting (XSS).
Puede acceder a la lista completa de vulnerabilidades en el siguiente enlace.
Las versiones afectadas son:
- Junos OS, versiones anteriores a 22.1R2.
- Junos OS, versiones anteriores a 21.1R3-S2.
- Junos OS, versiones anteriores a 20.1R3-S5.
- Junos OS, versiones anteriores a 19.1R3-S9.
Puede acceder a la lista completa de las versiones afectadas en el siguiente enlace.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://supportportal.juniper.net/s/article/2022-10-Security-Bulletin-Junos-OS-Multiple-vulnerabilities-in-J-Web?language=en_US
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22241
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22246
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22242
- https://support.juniper.net/support/downloads/