9VSA23-00885-01 CSIRT comparte información de vulnerabilidades parchadas en Juniper OS

Resumen

El CSIRT de Gobierno comparte información sobre el parchado de varias vulnerabilidades por parte de Juniper en Junos OS. De riesgo medio por separado, las cuatro vulnerabilidades pueden usarse encadenadamente para conseguir ejecución remota de código.

Vulnerabilidades

CVE-2023-36844

CVE-2023-36845

CVE-2023-36846

CVE-2023-36847

Impacto

Vulnerabilidades de riesgo medio

CVE-2023-36844: Vulnerabilidad en el componente J-Web de Junos OS. Modificación PHP External Variable en J-Web de Juniper Networks Junos OS en EX Series que permite a un atacante no autenticado basado en la red, controlar ciertas importantes variables de ambiente. CVSS: 5.3.

CVE-2023-36845: Vulnerabilidad en el componente J-Web de Junos OS. Modificación PHP External Variable en J-Web de Juniper Networks Junos OS en EX y SRX Series que permite a un atacante no autenticado basado en la red, controlar ciertas importantes variables de ambiente. CVSS: 5.3.

CVE-2023-36846: Vulnerabilidad de falta de autenticación en Critical Function en Juniper Networks Junos OS en SRX Series. CVSS: 5.3.

CVE-2023-36847: Vulnerabilidad de falta de autenticación en Critical Function en Juniper Networks Junos OS en EX Series. CVSS: 5.3.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Productos afectados

Junos OS en las series SRX y EX.

Enlaces

https://supportportal.juniper.net/s/article/2023-08-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-can-be-combined-to-allow-a-preAuth-Remote-Code-Execution?language=en_US

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36844

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36845

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36846

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-36847

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00885-01.