9VSA23-00885-01 CSIRT comparte información de vulnerabilidades parchadas en Juniper OS
De riesgo medio por separado, las cuatro vulnerabilidades pueden usarse encadenadamente para conseguir ejecución remota de código.
Resumen
El CSIRT de Gobierno comparte información sobre el parchado de varias vulnerabilidades por parte de Juniper en Junos OS. De riesgo medio por separado, las cuatro vulnerabilidades pueden usarse encadenadamente para conseguir ejecución remota de código.
Vulnerabilidades
CVE-2023-36844
CVE-2023-36845
CVE-2023-36846
CVE-2023-36847
Impacto
Vulnerabilidades de riesgo medio
CVE-2023-36844: Vulnerabilidad en el componente J-Web de Junos OS. Modificación PHP External Variable en J-Web de Juniper Networks Junos OS en EX Series que permite a un atacante no autenticado basado en la red, controlar ciertas importantes variables de ambiente. CVSS: 5.3.
CVE-2023-36845: Vulnerabilidad en el componente J-Web de Junos OS. Modificación PHP External Variable en J-Web de Juniper Networks Junos OS en EX y SRX Series que permite a un atacante no autenticado basado en la red, controlar ciertas importantes variables de ambiente. CVSS: 5.3.
CVE-2023-36846: Vulnerabilidad de falta de autenticación en Critical Function en Juniper Networks Junos OS en SRX Series. CVSS: 5.3.
CVE-2023-36847: Vulnerabilidad de falta de autenticación en Critical Function en Juniper Networks Junos OS en EX Series. CVSS: 5.3.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Productos afectados
Junos OS en las series SRX y EX.
Enlaces
https://supportportal.juniper.net/s/article/2023-08-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-can-be-combined-to-allow-a-preAuth-Remote-Code-Execution?language=en_US
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36844
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36845
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36846
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36847
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00885-01.