Juniper Networks ได้เผยแพร่ตัวอัปเดตใหม่เพื่อแก้ไขช่องโหว่ที่มีความรุนแรงสูงในผลิตภัณฑ์ซีรีส์ SRX และ EX ซึ่งอาจถูกโจมตีโดยผู้ไม่หวังดีเพื่อควบคุมระบบ
ช่องโหว่นี้ประกอบด้วยหมายเลข CVE-2024-21619 และ CVE-2024-21620 และฝังอยู่ในส่วนประกอบ J-Web ซึ่งส่งผลต่อระบบปฏิบัติการ Junos OS ทุกรุ่น บริษัทเคยเปิดเผยช่อโหว่สองจุด CVE-2023-36846 และ CVE-2023-36851 ไปก่อนหน้านี้ ช่วงเดือนสิงหาคม 2023 ที่ผ่านมา
สำหรับช่องโหว่ CVE-2024-21619 (คะแนน CVSS: 5.3) อาจจะเกิดการละเว้นการตรวจสอบสิทธิและจะส่งให้เปิดเผยการตั้งค่าข้อมูลที่สำคัญรั่วไหลออกไปได้ ส่วนช่องโหว่ CVE-2024-21620 (คะแนน CVSS: 8.8) เป็นช่องโหว่สคริปต์ข้ามไซต์ (XSS) อาจจะทำให้ผู้โจมตีสั่งทำงานอะไรก็ได้บนระบบ โดยใช้สิทธิ์ของผู้ใช้งานที่เป็นเป้าหมาย ผ่านการสร้างคำขอพิเศษก็ได้
สำหรับช่องโหว่มีการแก้ไขแบ่งเป็น
โดย CVE-2024-21619 แก้ไขแล้วในรุ่น: 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S6, 22.1R3-S5, 22.2R3-S3, 22.3R3-S2, 22.4R3, 23.2R1-S2, 23.2R2, 23.4R1, และเวอร์ชันถัดไปทั้งหมด
โดย CVE-2024-21620 แก้ไขแล้วในรุ่น: 20.4R3-S10, 21.2R3-S8, 21.4R3-S6, 22.1R3-S5, 22.2R3-S3, 22.3R3-S2, 22.4R3-S1, 23.2R2, 23.4R2, และเวอร์ชันถัดไปทั้งหมด
อ่านเพิ่มเติมที่นี่ – THN
