Vulnérabilités dans Juniper Junos OS
Date de publication :
De multiples vulnérabilités ont été découvertes dans Junos OS, système d’exploitation utilisé par les appareils Juniper. Un attaquant distant non-authentifié peut provoquer un déni de service ou provoquer une exécution de code arbitraire sur le navigateur d’un utilisateur (XSS).
CVE-2020-1672 [Score CVSS v3 : 7.5] : Une vulnérabilité de type déni de service a été découverte dans Junos OS. Un attaquant distant non-authentifié peut provoquer le plantage du service jdhcpd via l’envoi d’un paquet DHCP spécialement conçu.
CVE-2020-1673 [Score CVSS v3 : 8.8] : Une vulnérabilité de type “cross-site scripting” (XSS) a été découverte dans Junos OS. Un attaquant distant non-authentifié peut provoquer une exécution de script arbitraire sur le navigateur d’un administrateur en le poussant à ouvrir un lien spécialement conçu ou en le convaincant d’entrer des données spécifiques en console.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exécution de script arbitraire sur le navigateur d’un utilisateur (XSS)
Criticité
- Score CVSS v3 : 8.8 maximum
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- Le détail des versions vulnérables de Junos OS est disponible au cas par cas sur les bulletins source
CVE
- CVE-2020-1672
- CVE-2020-1673
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Junos OS vers une version non-vulnérable
Solution de contournement
Aucune solution de contournement n’est disponible