| タイトル | ジュニパーネットワークスのSecurity Directorにおける認証の欠如に関する脆弱性 |
|---|---|
| 概要 | Juniper Networks Security Directorにおける認可の欠如の脆弱性により、認証されていないネットワークベースの攻撃者がWebインターフェースを介して複数の機密リソースを読み取ったり改ざんしたりすることが可能です。Juniper Security Directorアプライアンスの多数のエンドポイントは認可を検証せず、呼び出し元に対してその認可レベルを超える情報を提供してしまいます。攻撃者はユーザーの認可レベル外のデータにアクセスでき、その取得した情報を利用して追加の情報へのアクセスや他の攻撃を行い、管理対象下流機器に影響を与える可能性があります。この問題はSecurity Directorバージョン24.4.1に影響を及ぼします。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2025年7月11日0:00 |
| 登録日 | 2026年1月28日12:41 |
| 最終更新日 | 2026年1月28日12:41 |
| CVSS3.0 : 緊急 | |
| スコア | 9.6 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H |
| ジュニパーネットワークス |
| Security Director 24.4.1 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年01月28日] 掲載 |
2026年1月28日12:41 |
| 概要 | A Missing Authorization vulnerability in Juniper Networks Security Director allows an unauthenticated network-based attacker to read or tamper with multiple sensitive resources via the web interface. Numerous endpoints on the Juniper Security Director appliance do not validate authorization and will deliver information to the caller that is outside their authorization level. An attacker can access data that is outside the user's authorization level. The information obtained can be used to gain access to additional information or perpetrate other attacks, impacting downstream managed devices. This issue affects Security Director version 24.4.1. |
|---|---|
| 公表日 | 2025年7月12日0:15 |
| 登録日 | 2025年7月12日4:00 |
| 最終更新日 | 2025年7月12日0:15 |