Flera sårbarheter har identifierats i J-Webs webbgränssnitt, som används i Juniper nätverksenheter utrustade med operativsystemet JunOS, varav den farligaste (CVE-2022-22241) låter dig fjärrexekvera din kod i systemet utan att autentisering genom att skicka en specialdesignad HTTP-förfrågan. Användare av Juniper-utrustning rekommenderas att installera firmware-uppdateringar, och om detta inte är möjligt, se till att åtkomsten till webbgränssnittet är blockerad från externa nätverk och endast begränsat till betrodda värdar.
Kärnan i sårbarheten är att filsökvägen som skickas av användaren bearbetas i /jsdm/ajax/logging_browse.php-skriptet utan att prefixet med innehållstypen filtreras i skedet före autentiseringskontrollen. En angripare kan sända en skadlig phar-fil under sken av en bild och uppnå exekvering av PHP-koden som finns i phar-arkivet med hjälp av attackmetoden "Phar deserialization" (till exempel ange "filepath=phar:/path/pharfile.jpg ” i begäran).
Problemet är att när man kontrollerar en uppladdad fil med PHP-funktionen is_dir(), avserialiserar denna funktion automatiskt metadata från Phar-arkivet när man bearbetar sökvägar som börjar med "phar://". En liknande effekt observeras vid bearbetning av användarangivna filsökvägar i funktionerna file_get_contents(), fopen(), file(), file_exists(), md5_file(), filemtime() och filesize().
Attacken kompliceras av det faktum att utöver att initiera körningen av phar-arkivet måste angriparen hitta ett sätt att ladda ner det till enheten (genom att gå till /jsdm/ajax/logging_browse.php kan du bara ange sökvägen till köra en redan befintlig fil). Möjliga scenarier för att filer kommer in på enheten inkluderar att ladda ner en phar-fil förklädd som en bild via en bildöverföringstjänst och ersätta filen i webbinnehållscachen.
Andra sårbarheter:
- CVE-2022-22242 – ersättning av ofiltrerade externa parametrar i utdata från error.php-skriptet, vilket tillåter cross-site scripting och exekvering av godtycklig JavaScript-kod i användarens webbläsare när man följer en länk (till exempel "https:// JUNOS_IP/error.php?SERVER_NAME= alert(0) " Sårbarheten kan användas för att avlyssna administratörssessionsparametrar om angripare lyckas få administratören att öppna en specialdesignad länk.
- CVE-2022-22243, CVE-2022-22244 XPATH-uttrycksersättning via jsdm/ajax/wizards/setup/setup.php och /modules/monitor/interfaces/interface.php-skript tillåter en oprivilegierad autentiserad användare att manipulera adminsessioner.
- CVE-2022-22245 Brist på korrekt sanering av ".."-sekvensen i sökvägar som bearbetas i Upload.php-skriptet tillåter en autentiserad användare att ladda upp sin PHP-fil till en katalog som tillåter att PHP-skript körs (till exempel genom att skicka sökvägen "filnamn=\. .\..\..\..\www\dir\new\shell.php").
- CVE-2022-22246 - Möjlighet till godtycklig lokal PHP-filkörning via manipulering av en autentiserad användare av skriptet jrest.php, där externa parametrar används för att bilda namnet på filen som laddas av funktionen "require_once()" (för exempel, "/jrest.php?payload =alol/lol/any\..\..\..\..\any\file")
Källa: opennet.ru