Juniper Networks修复了Session Smart路由器中的一个严重漏洞

Juniper Networks修复了其Session Smart Router产品中的一个严重身份验证绕过漏洞，该漏洞被追踪为CVE-2025-21589（CVSS评分为9.8）。

公告中写道：“Juniper Networks Session Smart Router中的一个使用替代路径或通道的身份验证绕过漏洞可能允许基于网络的攻击者绕过身份验证并获取设备的完全控制权。”

该漏洞影响以下版本的Session Smart Router：

从5.6.7到5.6.17之前的版本，

• 从6.0.8开始的版本，

• 从6.1到6.1.12-lts之前的版本，

• 从6.2到6.2.8-lts之前的版本，

• 从6.3到6.3.3-r2之前的版本；

以及Session Smart Conductor：

• 从5.6.7到5.6.17之前的版本，

• 从6.0.8开始的版本，

• 从6.1到6.1.12-lts之前的版本，

• 从6.2到6.2.8-lts之前的版本，

• 从6.3到6.3.3-r2之前的版本；

以及WAN Assurance托管路由器：

• 从5.6.7到5.6.17之前的版本，

• 从6.0.8开始的版本，

• 从6.1到6.1.12-lts之前的版本，

• 从6.2到6.2.8-lts之前的版本，

• 从6.3到6.3.3-r2之前的版本。

供应商通过SSR-5.6.17、SSR-6.1.12-lts、SSR-6.2.8-lts、SSR-6.3.3-r2及后续版本修复了该漏洞。

使用Mist Cloud的WAN Assurance设备已自动修补，但仍建议升级到修复版本。

公司表示，目前没有已知的临时解决方案。公司SIRT尚未发现利用该漏洞的野外攻击。

2024年7月，Juniper Networks发布了带外安全更新，以解决一个严重漏洞，该漏洞被追踪为CVE-2024-2973（CVSS评分为10.0），可能导致某些路由器中的身份验证绕过。该公司在内部产品安全测试或研究期间发现了该漏洞。

Juniper Networks Session Smart Router或Conductor中的漏洞（带有冗余对等设备）允许基于网络的攻击者绕过身份验证并完全控制设备。该漏洞仅影响运行在高可用性冗余配置中的路由器或控制器。

原文始发于微信公众号（黑猫安全）：Juniper Networks修复了Session Smart路由器中的一个严重漏洞