漏洞信息详情

Juniper Junos J-Web 任意命令执行漏

• CNNVD编号：CNNVD-201309-140
• 危害等级： 高危
  
• CVE编号： CVE-2013-6618
• 漏洞类型： 输入验证
• 发布时间： 2013-09-12
• 威胁类型： 远程
• 更新时间： 2013-11-06
• 厂        商： juniper
• 漏洞来源： Phil of Sense of S...

漏洞简介

Juniper Networks Junos是美国瞻博网络（Juniper Networks）公司的一套专用于该公司的硬件系统的网络操作系统，该操作系统提供了安全编程接口和Junos SDK。J-Web是一个针对使用Junos的路由器或交换机的网络管理工具。

Juniper Junos中的J-Web软件中的jsdm/ajax/port.php脚本中存在任意命令执行漏洞。远程经过授权的攻击者可借助‘rsargs’参数利用该漏洞以root权限执行任意命令。以下版本受到影响：Juniper Junos 10.4R13之前的版本，11.4R7之前的11.4版本，12.1R5之前的12.1版本，12.2R3之前的12.2版本，12.3R1之前的12.3版本。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://kb.juniper.net/InfoCenter/index?page=content&id=jsA10560

参考网址

来源: XF

名称: juniper-port-command-execution(87011)

链接:http://xforce.iss.net/xforce/xfdb/87011

来源: www.senseofsecurity.com.au

链接:http://www.senseofsecurity.com.au/advisories/SOS-13-003

来源: SECTRACK

名称: 1029016

链接:http://www.securitytracker.com/id/1029016

来源: BID

名称: 62305

链接:http://www.securityfocus.com/bid/62305

来源: SECUNIA

名称: 54731

链接:http://secunia.com/advisories/54731

来源: kb.juniper.net

链接:http://kb.juniper.net/InfoCenter/index?page=content&id=jsA10560

受影响实体

• Juniper Junos:10.3  
• Juniper Junos:10.2  
• Juniper Junos:10.1  
• Juniper Junos:10.0  
• Juniper Junos:10.4  

补丁

暂无