Juniper Networks ha publicado actualizaciones de seguridad para abordar una falla de seguridad crítica que impacta el enrutador inteligente de la sesión, el conductor inteligente de sesión y los productos de enrutador WAN Assurance que podrían explotarse para secuestrar el control de dispositivos susceptibles.
Rastreado como CVE-2025-21589la vulnerabilidad lleva una puntuación CVSS V3.1 de 9.8 y una puntuación CVS V4 de 9.3.
“Una autenticación omitida utilizando una ruta alternativa o vulnerabilidad al canal en la sesión de Semart Router de la sesión de Juniper Networks puede permitir que un atacante basado en la red pase por alto la autenticación y tome el control administrativo del dispositivo”, la compañía dicho en un aviso.
La vulnerabilidad impacta los siguientes productos y versiones –
- Router inteligente de sesión: desde 5.6.7 antes de 5.6.17, desde 6.0.8, desde 6.1 antes de 6.1.12-lts, desde 6.2 antes de 6.2.8-lts, y desde 6.3 antes de 6.3.3-R2
- Session Smart Conductor: desde 5.6.7 antes de 5.6.17, desde 6.0.8, desde 6.1 antes de 6.1.12-lts, desde 6.2 antes de 6.2.8-lts, y desde 6.3 antes de 6.3.3-R2
- Wan Assurance Enrutadores administrados: desde 5.6.7 antes de 5.6.17, desde 6.0.8, desde 6.1 antes de 6.1.12-lts, desde 6.2 antes de 6.2.8-lts, y de 6.3 antes de 6.3.3-R2
Juniper Networks dijo que la vulnerabilidad se descubrió durante las pruebas e investigaciones de seguridad de productos internos, y que no es consciente de ninguna explotación maliciosa.
El defecto se ha abordado en las versiones de Router Smart Sess SSR-5.6.17, SSR-6.1.12-LTS, SSR-6.2.8-LTS, SSR-6.3.3-R2, y más tarde.
“Esta vulnerabilidad se ha parcheado automáticamente en dispositivos que operan con WAN Assurance (donde también se administra la configuración) conectado a la nube de mistores”, agregó la compañía. “Según lo práctico, los enrutadores aún deben actualizarse a una versión que contenga la solución”.
About the Author
