Vulnerabilidad en el componente J-Web en Juniper Networks Junos OS (CVE-2016-4923)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
13/10/2017
Última modificación:
20/04/2025
Descripción
Protección insuficiente contra Cross-Site Scripting (XSS) en el componente J-Web en Juniper Networks Junos OS podría permitir que un usuario remoto no autenticado inyecte scripts web o HTML, robe datos sensibles y credenciales de una sesión J-Web y realice acciones administrativos en el dispositivos Junos. Juniper SIRT no conoce ninguna explotación maliciosa de esta vulnerabilidad. Las distribuciones afectadas son: Juniper Networks Junos OS 11.4 anteriores a 11.4R13-S3; 12.1X44 anteriores a 12.1X44-D60; 12.1X46 anteriores a 12.1X46-D40; 12.1X47 anteriores a 12.1X47-D30; 12.3 anteriores a 12.3R11; 12.3X48 anteriores a 12.3X48-D20; 13.2X51 anteriores a 13.2X51-D39, 13.2X51-D40; 13.3 anteriores a 13.3R9; 14.1 anteriores a 14.1R6; 14.2 anteriores a 14.2R6; 15.1 anteriores a 15.1R3; 15.1X49 anteriores a 15.1X49-D20; 15.1X53 anteriores a 15.1X53-D57.
Impacto
Puntuación base 3.x
8.00
Gravedad 3.x
ALTA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:juniper:junos:11.4:*:*:*:*:*:*:* | ||
cpe:2.3:o:juniper:junos:11.4:r1:*:*:*:*:*:* | ||
cpe:2.3:o:juniper:junos:11.4:r10:*:*:*:*:*:* | ||
cpe:2.3:o:juniper:junos:11.4:r11:*:*:*:*:*:* | ||
cpe:2.3:o:juniper:junos:11.4:r12:*:*:*:*:*:* | ||
cpe:2.3:o:juniper:junos:11.4:r2:*:*:*:*:*:* | ||
cpe:2.3:o:juniper:junos:11.4:r3:*:*:*:*:*:* | ||
cpe:2.3:o:juniper:junos:11.4:r4:*:*:*:*:*:* | ||
cpe:2.3:o:juniper:junos:11.4:r5:*:*:*:*:*:* | ||
cpe:2.3:o:juniper:junos:11.4:r6:*:*:*:*:*:* | ||
cpe:2.3:o:juniper:junos:11.4:r7:*:*:*:*:*:* | ||
cpe:2.3:o:juniper:junos:11.4:r8:*:*:*:*:*:* | ||
cpe:2.3:o:juniper:junos:11.4:r9:*:*:*:*:*:* | ||
cpe:2.3:o:juniper:junos:11.4r13:s2:*:*:*:*:*:* | ||
cpe:2.3:o:juniper:junos:12.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página