Juniper Networks修复了Session Smart路由器中的一个严重漏洞

admin 2025年2月20日19:09:35评论10 views字数 965阅读3分13秒阅读模式
Juniper Networks修复了Session Smart路由器中的一个严重漏洞

Juniper Networks修复了其Session Smart Router产品中的一个严重身份验证绕过漏洞,该漏洞被追踪为CVE-2025-21589(CVSS评分为9.8)。

公告中写道:“Juniper Networks Session Smart Router中的一个使用替代路径或通道的身份验证绕过漏洞可能允许基于网络的攻击者绕过身份验证并获取设备的完全控制权。”

该漏洞影响以下版本的Session Smart Router:

从5.6.7到5.6.17之前的版本,

  • 从6.0.8开始的版本,

  • 从6.1到6.1.12-lts之前的版本,

  • 从6.2到6.2.8-lts之前的版本,

  • 从6.3到6.3.3-r2之前的版本;

以及Session Smart Conductor:

  • 从5.6.7到5.6.17之前的版本,

  • 从6.0.8开始的版本,

  • 从6.1到6.1.12-lts之前的版本,

  • 从6.2到6.2.8-lts之前的版本,

  • 从6.3到6.3.3-r2之前的版本;

以及WAN Assurance托管路由器:

  • 从5.6.7到5.6.17之前的版本,

  • 从6.0.8开始的版本,

  • 从6.1到6.1.12-lts之前的版本,

  • 从6.2到6.2.8-lts之前的版本,

  • 从6.3到6.3.3-r2之前的版本。

供应商通过SSR-5.6.17、SSR-6.1.12-lts、SSR-6.2.8-lts、SSR-6.3.3-r2及后续版本修复了该漏洞。

使用Mist Cloud的WAN Assurance设备已自动修补,但仍建议升级到修复版本。

公司表示,目前没有已知的临时解决方案。公司SIRT尚未发现利用该漏洞的野外攻击。

2024年7月,Juniper Networks发布了带外安全更新,以解决一个严重漏洞,该漏洞被追踪为CVE-2024-2973(CVSS评分为10.0),可能导致某些路由器中的身份验证绕过。该公司在内部产品安全测试或研究期间发现了该漏洞。

Juniper Networks Session Smart Router或Conductor中的漏洞(带有冗余对等设备)允许基于网络的攻击者绕过身份验证并完全控制设备。该漏洞仅影响运行在高可用性冗余配置中的路由器或控制器。

原文始发于微信公众号(黑猫安全):Juniper Networks修复了Session Smart路由器中的一个严重漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月20日19:09:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Juniper Networks修复了Session Smart路由器中的一个严重漏洞https://cn-sec.com/archives/3763888.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息