Juniper Junos đến 13.3 J-Web index.php Persistent Tập lệnh chéo trang
| CVSS Điểm tạm thời meta | Giá khai thác hiện tại (≈) | Điểm quan tâm CTI |
|---|---|---|
| 4.1 | $0-$5k | 0.00 |
Tóm tắt
Một điểm yếu phân loại là Có vấn đề đã xuất hiện trong Juniper Junos đến 13.3. Bị ảnh hưởng là một hàm không xác định của tệp index.php của thành phần J-Web. Việc chỉnh sửa Tập lệnh chéo trang (Persistent). Lỗ hổng này được biết đến với tên CVE-2014-2711. Cuộc tấn công này có thể được thực hiện từ xa. Hơn nữa, có một khai thác sẵn có. Đề xuất nâng cấp thành phần bị ảnh hưởng.
Chi tiết
Một điểm yếu phân loại là Có vấn đề đã xuất hiện trong Juniper Junos đến 13.3. Bị ảnh hưởng là một hàm không xác định của tệp index.php của thành phần J-Web. Việc chỉnh sửa Tập lệnh chéo trang (Persistent). Khai báo vấn đề bằng CWE sẽ dẫn tới CWE-79. Thông tin về điểm yếu đã được công bố vào ngày 09/04/2014 bởi Chuck McAuley với định danh JSA10619 / PR 940744 / KB16765 dưới dạng Khuyến cáo (Trang web). Bạn có thể tải khuyến nghị này tại kb.juniper.net. Việc công bố công khai đã được phối hợp với nhà cung cấp.
Lỗ hổng này được biết đến với tên CVE-2014-2711. Việc gán CVE diễn ra vào ngày 01/04/2014. Cuộc tấn công này có thể được thực hiện từ xa. Có sẵn các chi tiết kỹ thuật. Mức độ phổ biến của lỗ hổng này thấp hơn mức trung bình. Hơn nữa, có một khai thác sẵn có. Hiện tại, giá cho một khai thác có thể vào khoảng USD $0-$5k. Theo dự án MITRE ATT&CK, kỹ thuật tấn công được xác định là T1059.007.
Nếu có độ dài, thì nó được khai báo là chức năng cao. Là 0-day, giá ước tính trên thị trường ngầm vào khoảng $5k-$25k. Công cụ quét lỗ hổng Nessus có một plugin với mã số 73493. Nếu trường này có giá trị, nó sẽ được phân vào nhóm Junos Local Security Checks. Plugin hoạt động trong bối cảnh loại c. Nó đang dựa vào cổng 0. Trình quét lỗ hổng thương mại Qualys có thể kiểm tra vấn đề này bằng plugin 43391 (Juniper JUNOS J-Web Cross-Site Scripting Vulnerability (JSA10619)).
Cập nhật lên phiên bản 11.4R11, 11.4X27.62 (BBE), 12.1R9, 12.1X44-D35, 12.1X45-D25, 12.1X46-D20, 12.2R7, 12.3R6, 13.1R4, 13.2R3 , 13.3R1 có thể xử lý vấn đề này. Vấn đề có thể được giảm nhẹ bằng cách áp dụng cấu hình Disable J-Web. Đề xuất nâng cấp thành phần bị ảnh hưởng.
Lỗ hổng này còn được ghi nhận ở các cơ sở dữ liệu lỗ hổng khác: SecurityFocus (BID 66770), X-Force (92394), Secunia (SA57788), SecurityTracker (ID 1030061) , Vulnerability Center (SBV-44173).
Sản phẩm
Loại
Nhà cung cấp
Tên
Phiên bản
Giấy phép
Trang web
- Nhà cung cấp: https://www.juniper.net/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Độ tin cậy: 🔍
CVSSv3
VulDB Điểm cơ sở meta: 4.3VulDB Điểm tạm thời meta: 4.1
VulDB Điểm cơ sở: 4.3
VulDB Điểm tạm thời: 4.1
VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Véc-tơ | Độ phức tạp | Xác thực | Bí mật | Toàn vẹn | Khả dụng |
|---|---|---|---|---|---|
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
| Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
VulDB Điểm cơ sở: 🔍
VulDB Điểm tạm thời: 🔍
VulDB Độ tin cậy: 🔍
NVD Điểm cơ sở: 🔍
Khai thác
Tên: PersistentLớp: Tập lệnh chéo trang / Persistent
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Vật lý: Không
Cục bộ: Không
Từ xa: Có
Khả dụng: 🔍
Trạng thái: Chức năng cao
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔍
| 0-Day | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
|---|---|---|---|---|
| Hôm nay | Mở khóa | Mở khóa | Mở khóa | Mở khóa |
Nessus ID: 73493
Nessus Tên: Juniper Junos J-Web Persistent XSS (JSA10619)
Nessus Tệp tin: 🔍
Nessus Rủi ro: 🔍
Nessus Gia đình: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 802738
OpenVAS Tên: Junos J-Web Persistent Cross Site Scripting Vulnerability
OpenVAS Tệp tin: 🔍
OpenVAS Gia đình: 🔍
Qualys ID: 🔍
Qualys Tên: 🔍
Tình báo mối đe dọa
Sự quan tâm: 🔍Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍
Biện pháp đối phó
Khuyến nghị: nâng cấpTrạng thái: 🔍
Thời gian phản ứng: 🔍
Thời gian 0-ngày: 🔍
Thời gian tiếp xúc: 🔍
nâng cấp: Junos 11.4R11/11.4X27.62 (BBE)/12.1R9/12.1X44-D35/12.1X45-D25/12.1X46-D20/12.2R7/12.3R6/13.1R4/13.2R3/13.3R1
Config: Disable J-Web
dòng thời gian
01/04/2014 🔍09/04/2014 🔍
09/04/2014 🔍
09/04/2014 🔍
09/04/2014 🔍
10/04/2014 🔍
11/04/2014 🔍
11/04/2014 🔍
14/04/2014 🔍
14/04/2014 🔍
22/04/2014 🔍
10/05/2026 🔍
Nguồn
Nhà cung cấp: juniper.netKhuyến cáo: JSA10619 / PR 940744 / KB16765
Nhà nghiên cứu: Chuck McAuley
Trạng thái: Đã xác nhận
Xác nhận: 🔍
Đã phối hợp: 🔍
CVE: CVE-2014-2711 (🔍)
GCVE (CVE): GCVE-0-2014-2711
GCVE (VulDB): GCVE-100-12874
IAVM: 🔍
X-Force: 92394 - Juniper Junos index.php cross-site scripting, Medium Risk
SecurityFocus: 66770 - Juniper Junos J-Web CVE-2014-2711 HTML Injection Vulnerability
Secunia: 57788 - Juniper JunOS J-Web System Monitoring Script Insertion Vulnerability, Moderately Critical
SecurityTracker: 1030061
Vulnerability Center: 44173 - Juniper JunOS Remote Persistent XSS Vulnerability in J-Web, Medium
scip Labs: https://www.scip.ch/en/?labs.20161013
Xem thêm: 🔍
mục
Được tạo: 11/04/2014 10:53Đã cập nhật: 10/05/2026 14:33
Thay đổi: 11/04/2014 10:53 (89), 29/04/2019 07:03 (9), 18/12/2024 09:40 (17), 23/04/2025 00:27 (2), 10/05/2026 14:33 (1)
Hoàn chỉnh: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Chưa có bình luận nào Ngôn ngữ: vi + km + en.
Vui lòng đăng nhập để bình luận