| タイトル | ジュニパーネットワークスのParagon Active Assurance Control Centerにおける情報漏えいに関する脆弱性 |
|---|---|
| 概要 | Juniper Networks Paragon Active Assurance Control Centerにおける未認可の攻撃者への機密情報漏洩の脆弱性は、ネットワーク隣接の攻撃者がTest Agent Applianceのrootアクセス権を得ることで、下流デバイスに関する機密情報にアクセスできる問題です。"netrounds-probe-login"デーモン(probe_servicedとも呼ばれる)は、Test Agent (TA) Applianceがインターフェースの状態や設定をプッシュしたり、自身の登録解除を行ったりする機能を公開しています。このリモートサービスは誤ってParagon Active Assurance Control Center上の内部データベースオブジェクトを公開しており、それにより直接データベースへアクセスできます。本脆弱性はParagon Active Assuranceバージョン4.1.0および4.2.0に影響を及ぼします。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2024年4月12日0:00 |
| 登録日 | 2026年1月19日19:36 |
| 最終更新日 | 2026年1月19日19:36 |
| CVSS3.0 : 重要 | |
| スコア | 8.4 |
|---|---|
| ベクター | CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
| ジュニパーネットワークス |
| Paragon Active Assurance Control Center 4.1.0 |
| Paragon Active Assurance Control Center 4.2.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年01月19日] 掲載 |
2026年1月19日19:36 |
| 概要 | An Exposure of Sensitive Information to an Unauthorized Actor vulnerability in Juniper Networks Paragon Active Assurance Control Center allows a network-adjacent attacker with root access to a Test Agent Appliance the ability to access sensitive information about downstream devices. The "netrounds-probe-login" daemon (also called probe_serviced) exposes functions where the Test Agent (TA) Appliance pushes interface state/config, unregister itself, etc. The remote service accidentally exposes an internal database object that can be used for direct database access on the Paragon Active Assurance Control Center. This issue affects Paragon Active Assurance: 4.1.0, 4.2.0. |
|---|---|
| 公表日 | 2024年4月13日0:15 |
| 登録日 | 2024年4月13日10:00 |
| 最終更新日 | 2024年11月21日18:11 |