瞻博网络(Juniper Networks)已修复一个被追踪为 CVE – 2025 – 21589 的严重漏洞,该漏洞影响其Session Smart Router。
瞻博网络修复了一个严重的身份验证绕过漏洞,编号为 CVE – 2025 – 21589(通用漏洞评分系统(CVSS)评分为 9.8),该漏洞影响其Session Smart Router产品。
安全公告中写道:“瞻博网络Session Smart Router中存在一个‘通过备用路径或通道进行身份验证绕过’的漏洞,这可能使基于网络的攻击者绕过身份验证并取得设备的管理控制权。”
受该漏洞影响的产品包括:
Session Smart Router(Session Smart Router):
(1)5.6.7 版本至 5.6.17 版本之前
(2)6.0.8 版本及后续
(3)6.1 版本至 6.1.12 – lts 版本之前
(4)6.2 版本至 6.2.8 – lts 版本之前
(5)6.3 版本至 6.3.3 – r2 版本之前
会话智能管理程序(Session Smart Conductor):
(1)5.6.7 版本至 5.6.17 版本之前
(2)6.0.8 版本及后续
(3)6.1 版本至 6.1.12 – lts 版本之前
(4)6.2 版本至 6.2.8 – lts 版本之前
(5)6.3 版本至 6.3.3 – r2 版本之前
广域网保障托管路由器(WAN Assurance Managed Routers):
(1)5.6.7 版本至 5.6.17 版本之前
(2)6.0.8 版本及后续
(3)6.1 版本至 6.1.12 – lts 版本之前
(4)6.2 版本至 6.2.8 – lts 版本之前
(5)6.3 版本至 6.3.3 – r2 版本之前
瞻博网络通过发布 SSR – 5.6.17、SSR – 6.1.12 – lts、SSR – 6.2.8 – lts、SSR – 6.3.3 – r2 及后续版本修复了该漏洞。
使用带 Mist Cloud 的广域网保障(WAN Assurance with Mist Cloud)的设备已自动接收补丁,但仍建议升级到修复版本。
该公司表示,针对此漏洞没有已知的解决方法。公司的安全事件响应团队(SIRT)尚未发现有利用此漏洞在实际环境中进行的攻击。
2024 年 7 月,瞻博网络发布了非计划内的安全更新,以修复一个被追踪为 CVE – 2024 – 2973(CVSS 评分为 10.0)的严重漏洞,该漏洞可能导致其部分路由器出现身份验证绕过问题。该公司在内部产品安全测试或研究期间发现了此漏洞。
瞻博网络Session Smart Router或具有冗余对等体的管理程序中的该漏洞,使基于网络的攻击者能够绕过身份验证并完全控制设备。此漏洞仅影响在高可用性冗余配置下运行的路由器或管理程序。
发表评论
您还未登录,请先登录。
登录