Katalog CVE

Aktywnie wykorzystywana w atakach

Juniper Junos OS EX Series and SRX Series PHP External Variable Modification Vulnerability

Juniper — Junos OS · Figuruje w katalogu CISA KEV od 2023-11-13. Oznacza to potwierdzone ataki w środowisku produkcyjnym.

Wymagane działanie: Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

CVE-2023-36845

KrytyczneCVSS 9.8KEV
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
93.55%

Percentyl 100 — wyżej niż 100% wszystkich znanych CVE

Streszczenie

W podatności CVE-2023-36845 w J-Web systemu Junos OS firmy Juniper Networks, atakujący zdalny, nieautoryzowany może wykonać kod poprzez modyfikację zmiennej PHPRC. Umożliwia to zdalne wstrzyknięcie i wykonanie kodu w środowisku PHP.

Ocena ryzyka

Ta podatność stwarza poważne ryzyko dla organizacji, ponieważ pozwala na zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. Atakujący może wykorzystać tę lukę do wprowadzenia złośliwego oprogramowania lub kradzieży danych.

Rekomendacja

Zaleca się aktualizację systemu Junos OS do wersji, która nie jest podatna na tę lukę, w szczególności do wersji 20.4R3-S9 lub nowszych. Należy również monitorować ruch sieciowy w celu wykrycia potencjalnych prób ataków.

Oryginalny opis (angielski, źródło NVD)

A PHP External Variable Modification vulnerability in J-Web of Juniper Networks Junos OS on EX Series and SRX Series allows an unauthenticated, network-based attacker to remotely execute code. Using a crafted request which sets the variable PHPRC an attacker is able to modify the PHP execution environment allowing the injection und execution of code. This issue affects Juniper Networks Junos OS on EX Series and SRX Series: * All versions prior to 20.4R3-S9; * 21.1 versions 21.1R1 and later; * 21.2 versions prior to 21.2R3-S7; * 21.3 versions prior to 21.3R3-S5; * 21.4 versions prior to 21.4R3-S5; * 22.1 versions prior to 22.1R3-S4; * 22.2 versions prior to 22.2R3-S2; * 22.3 versions prior to 22.3R2-S2, 22.3R3-S1; * 22.4 versions prior to 22.4R2-S1, 22.4R3; * 23.2 versions prior to 23.2R1-S1, 23.2R2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS