به‌ روزرسانی‌هایی را برای رفع آسیب‌پذیری حیاتی اجرای کد از راه دور (RCE) با شناسه CVE-2024-21591 و امتیاز 9.8 CVSS در فایروال‌های سری SRX و سوئیچ‌های سری EX منتشر کرد.

شرکت Juniper با انتشار یک توصیه امنیتی گفت: شناسه CVE-2024-21591 مربوط به آسیب‌پذیری نوشتن خارج از محدوده (out-of-bound) در J-Web از Juniper Networks Junos OS سری SRX و سری EX است که امکان انجام حمله منع سرویس (DoS) یا اجرای کد از راه دور (RCE) و اخذ دسترسی root بر روی سیستم را برای مهاجمان مبتنی بر شبکه احراز هویت نشده فراهم می‌سازد.

بنابر گفته شرکت Hewlett Packard Enterprise (HPE): این باگ به دلیل استفاده از یک تابع ناامن ایجاد شده است که امکان بازنویسی حافظه دلخواه را برای نفوذگران مهیا می‌کند.

محصولات تحت تاثیر

آسیب‌پذیری مذکور در نسخه‌های 20.4R3-S9, 21.2R3-S7, 21.3R3-S5, 21.4R3-S5, 22.1R3-S4, 22.2R3-S3, 22.3R3-S2, 22.4R2-S2, 22.4R3, 23.2R1-S1, 23.2R2, 23.4R1 و جدیدتر برطرف شده است و بر نسخه‌های زیر تأثیر می‌گذارد:

• نسخه‌های Junos OS پیش از 20.4R3-S9
• نسخه‌های Junos OS 21.2 پیش از 21.2R3-S7
• نسخه‌های Junos OS 21.3 پیش از 21.3R3-S5
• نسخه‌های Junos OS 21.4 پیش از 21.4R3-S5
• نسخه‌های Junos OS 22.1 پیش از 22.1R3-S4
• نسخه‌های Junos OS 22.2 پیش از 22.2R3-S3
• نسخه‌های Junos OS 22.3 پیش از 22.3R3-S2 
• نسخه‌های Junos OS 22.4 پیش از 22.4R2-S2، 22.4R3

 این شرکت تا زمان به کار گرفتن وصله‌ها، به‌ عنوان راه‌حل‌های موقت توصیه کرد که کاربران J-Web را غیرفعال یا دسترسی را فقط به میزبان‌های مورد اعتماد محدود کنند.

Juniper Networks همچنین یک نقص با شدت بالا با شناسه CVE-2024-21611 و امتیاز CVSS: 7.5 در Junos OS و Junos OS Evolved را وصله کرد. این آسیب‌پذیری می&a