Уязвимость неправильной нейтрализации разделителей в пользовательском интерфейсе Junos OS и Junos OS Evolved от Juniper Networks позволяет …
Уязвимость неправильной нейтрализации разделителей в пользовательском интерфейсе Junos OS и Junos OS Evolved от Juniper Networks позволяет локальному авторизованному злоумышленнику с высокими привилегиями изменять конфигурацию системы [1]. Пользователь с ограниченными правами конфигурации и фиксации, используя специально созданную команду аннотации конфигурации, может изменить любую часть конфигурации устройства. Источники: - [1] https://supportportal.juniper.net/JSA100096
Продукт не нейтрализует или некорректно нейтрализует разделители.
https://cwe.mitre.org/data/definitions/140.html →Открыть в коллекции CWE →Атака данного типа эксплуатирует уязвимости программы, позволяющие злоумышленнику конкатенировать собственные команды с легитимными командами с целью атаки на другие ресурсы, такие как файловая система или база данных. Система, использующая фильтр или проверку входных данных на основе списка запрещённых значений, в отличие от проверки на основе разрешающего списка, уязвима для злоумышленника, способного предсказывать разделители (или их комбинации), отсутствующие в фильтре или списке запрещённых значений. Как и другие атаки внедрения, злоумышленник использует полезную нагрузку с разделителем команд в качестве точки входа для туннелирования через приложение и активации дополнительных атак посредством SQL-запросов, команд командного интерпретатора, сетевого сканирования и т. д.
https://capec.mitre.org/data/definitions/15.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| junos | * | Отслеживается |
| junos_os_evolved | * | Отслеживается |