A Juniper Networks lançou atualizações de segurança para corrigir uma falha de segurança crítica que afeta os produtos Session Smart Router, Session Smart Conductor e WAN Assurance Router, que poderia ser explorada para sequestrar o controle de dispositivos suscetíveis.
Identificada como CVE-2025-21589, a vulnerabilidade tem uma pontuação CVSS v3.1 de 9.8 e uma pontuação CVS v4 de 9.3.
"Uma vulnerabilidade de 'Bypass de Autenticação Usando um Caminho ou Canal Alternativo' no Session Smart Router da Juniper Networks pode permitir que um atacante baseado em rede contorne a autenticação e assuma o controle administrativo do dispositivo," disse a empresa em um comunicado.
A vulnerabilidade afeta os seguintes produtos e versões:
Session Smart Router: De 5.6.7 antes de 5.6.17, de 6.0.8, de 6.1 antes de 6.1.12-lts, de 6.2 antes de 6.2.8-lts, e de 6.3 antes de 6.3.3-r2
Session Smart Conductor: De 5.6.7 antes de 5.6.17, de 6.0.8, de 6.1 antes de 6.1.12-lts, de 6.2 antes de 6.2.8-lts, e de 6.3 antes de 6.3.3-r2
WAN Assurance Managed Routers: De 5.6.7 antes de 5.6.17, de 6.0.8, de 6.1 antes de 6.1.12-lts, de 6.2 antes de 6.2.8-lts, e de 6.3 antes de 6.3.3-r2
A Juniper Networks afirmou que a vulnerabilidade foi descoberta durante testes de segurança de produtos internos e pesquisas, e que não tem conhecimento de qualquer exploração maliciosa.
A falha foi corrigida nas versões do Session Smart Router SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts, SSR-6.3.3-r2 e posteriores.
"Essa vulnerabilidade foi automaticamente corrigida em dispositivos que operam com WAN Assurance (onde a configuração também é gerenciada) conectados à Mist Cloud," acrescentou a empresa.
Na prática, os roteadores ainda devem ser atualizados para uma versão que contenha a correção.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...