Американский производитель телекоммуникационного оборудования Juniper Networks выпустил внеплановое обновление, устраняющее четыре уязвимости в компоненте J-Web системы Junos OS.Anti-Malware.ru
CVE-2023-36846 и CVE-2023-36847 — отсутствие аутентификации в Junos OS на EX и SRX.Anti-Malware.ru
Для эксплуатации достаточно отправить специально подготовленный запрос, который модифицирует определённые PHP-переменные среды и поможет загрузить произвольные файлы.Anti-Malware.ru
Есть и альтернативный метод защиты: отключить J-Web или выдать ограниченный доступ только доверенным хостам.Anti-Malware.ru