製品・ソフトウェアに関する情報

JVN脆弱性詳細

ジュニパーネットワークスのParagon Active Assurance Control Centerにおける情報漏えいに関する脆弱性

Title	ジュニパーネットワークスのParagon Active Assurance Control Centerにおける情報漏えいに関する脆弱性
Summary	Juniper Networks Paragon Active Assurance Control Centerにおける未認可の攻撃者への機密情報漏洩の脆弱性は、ネットワーク隣接の攻撃者がTest Agent Applianceのrootアクセス権を得ることで、下流デバイスに関する機密情報にアクセスできる問題です。"netrounds-probe-login"デーモン（probe_servicedとも呼ばれる）は、Test Agent (TA) Applianceがインターフェースの状態や設定をプッシュしたり、自身の登録解除を行ったりする機能を公開しています。このリモートサービスは誤ってParagon Active Assurance Control Center上の内部データベースオブジェクトを公開しており、それにより直接データベースへアクセスできます。本脆弱性はParagon Active Assuranceバージョン4.1.0および4.2.0に影響を及ぼします。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 12, 2024, midnight
Registration Date	Jan. 19, 2026, 7:36 p.m.
Last Update	Jan. 19, 2026, 7:36 p.m.

CVSS3.0 : 重要
Score	8.4
Vector	CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Affected System

ジュニパーネットワークス

Paragon Active Assurance Control Center 4.1.0

Paragon Active Assurance Control Center 4.2.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-30381	https://www.cve.org/CVERecord?id=CVE-2024-30381
National Vulnerability Database (NVD)
2	CVE-2024-30381	https://nvd.nist.gov/vuln/detail/CVE-2024-30381

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	Name	URL
FIRST
1	Common Vulnerability Scoring System Version 4.0 Calculator	https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H
Juniper Support Portal
2	2024-04 Security Bulletin: Paragon Active Assurance: probe_serviced exposes internal objects to local users (CVE-2024-30381)	https://supportportal.juniper.net/JSA79173

Change Log

No	Changed Details	Date of change
1	[2026年01月19日] 掲載	Jan. 19, 2026, 7:36 p.m.

NVD Vulnerability Information

CVE-2024-30381

Summary	An Exposure of Sensitive Information to an Unauthorized Actor vulnerability in Juniper Networks Paragon Active Assurance Control Center allows a network-adjacent attacker with root access to a Test Agent Appliance the ability to access sensitive information about downstream devices. The "netrounds-probe-login" daemon (also called probe_serviced) exposes functions where the Test Agent (TA) Appliance pushes interface state/config, unregister itself, etc. The remote service accidentally exposes an internal database object that can be used for direct database access on the Paragon Active Assurance Control Center. This issue affects Paragon Active Assurance: 4.1.0, 4.2.0.
Publication Date	April 13, 2024, 12:15 a.m.
Registration Date	April 13, 2024, 10 a.m.
Last Update	Nov. 21, 2024, 6:11 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://supportportal.juniper.net/JSA79173
2	https://supportportal.juniper.net/JSA79173
3	https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H
4	https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H

Common Vulnerabilities List