#安全资讯 瞻博网络 (JUNIPER) 企业级路由器存在 API 身份验证绕过漏洞,该漏洞 CVSS 评分高达 10 分 (满分),企业需尽快更新固件修复该漏洞。成功利用漏洞的攻击者将可以获得路由器完整控制权,也就是可以执行多种不同的恶意操作。查看全文:https://ourl.co/104757
企业网络设备制造商瞻博网络 (JUNIPER) 在上周末发布安全公告披露 CVE-2024-2973 安全漏洞的信息,该漏洞为绕过 API 身份验证,CVSS 评分为 10 分 / 10 分。
借助该漏洞攻击者可以绕过瞻博网络会话智能路由器的身份验证,也就是不需要账号密码即可登录路由器并获得完整的控制权。
鉴于此漏洞的危害程度极高因此瞻博网络已经发布安全固件进行修复,使用瞻博企业级路由器的企业需要立即升级到最新版固件确保安全。
受影响的产品及受影响的固件版本:
- Session Smart Router:5.6.15 之前的所有版本、6.0~6.1.9-LTS 版、6.2~6.2.5-sts 版
- Session Smart Conductor: 5.6.15 之前的所有版本、6.0~6.1.9-LTS 版、6.2~6.2.5-sts 版
- WAN Assurance Router: 6.1.9-LTS 之前的 6.0 系列版本、6.2.5-sts 之前的 6.2 系列版本
解决方案:
Session Smart Router 固件更新到 SSR-5.6.15、SSR-6.1.9-LTS、SSR-6.2.5-STS 及后续版本
在 Session Smart Conductor 管理的部署中,只需要升级 Conductor 节点,修复操作将会自动应用到所有连接的路由器。实际上路由器仍然应该更新到最新固件,只不过连接到升级后的 Conductor 节点后漏洞无法被利用。
安全公告地址:2024-06: Out-Of-Cycle Security Bulletin: Session Smart Router (SSR)
感谢蓝点网网友 颜黎明 投递的消息