Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el componente J-Web en Juniper Networks Junos OS (CVE-2016-4923)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
13/10/2017
Última modificación:
20/04/2025

Descripción

Protección insuficiente contra Cross-Site Scripting (XSS) en el componente J-Web en Juniper Networks Junos OS podría permitir que un usuario remoto no autenticado inyecte scripts web o HTML, robe datos sensibles y credenciales de una sesión J-Web y realice acciones administrativos en el dispositivos Junos. Juniper SIRT no conoce ninguna explotación maliciosa de esta vulnerabilidad. Las distribuciones afectadas son: Juniper Networks Junos OS 11.4 anteriores a 11.4R13-S3; 12.1X44 anteriores a 12.1X44-D60; 12.1X46 anteriores a 12.1X46-D40; 12.1X47 anteriores a 12.1X47-D30; 12.3 anteriores a 12.3R11; 12.3X48 anteriores a 12.3X48-D20; 13.2X51 anteriores a 13.2X51-D39, 13.2X51-D40; 13.3 anteriores a 13.3R9; 14.1 anteriores a 14.1R6; 14.2 anteriores a 14.2R6; 15.1 anteriores a 15.1R3; 15.1X49 anteriores a 15.1X49-D20; 15.1X53 anteriores a 15.1X53-D57.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:juniper:junos:11.4:*:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:11.4:r1:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:11.4:r10:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:11.4:r11:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:11.4:r12:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:11.4:r2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:11.4:r3:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:11.4:r4:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:11.4:r5:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:11.4:r6:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:11.4:r7:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:11.4:r8:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:11.4:r9:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:11.4r13:s2:*:*:*:*:*:*
cpe:2.3:o:juniper:junos:12.3:*:*:*:*:*:*:*