| Summary | A Command Injection vulnerability in Juniper Networks Junos Space allows an unauthenticated, network-based attacker sending a specially crafted request to execute arbitrary shell commands on the Junos Space Appliance, leading to remote command execution by the web application, gaining complete control of the device. A specific script in the Junos Space web application allows attacker-controlled input from a GET request without sufficient input sanitization. A specially crafted request can exploit this vulnerability to execute arbitrary shell commands on the Junos Space Appliance. This issue affects Junos Space 24.1R1. Previous versions of Junos Space are unaffected by this vulnerability. |
|---|---|
| Publication Date | Oct. 12, 2024, 1:15 a.m. |
| Registration Date | Oct. 12, 2024, 5 a.m. |
| Last Update | Oct. 15, 2024, 9:58 p.m. |
| Title | ジュニパーネットワークスのJunos Spaceにおけるコマンドインジェクションの脆弱性 |
|---|---|
| Summary | Juniper Networks Junos Spaceにはコマンドインジェクションの脆弱性が存在し、認証されていないネットワーク経由の攻撃者が特別に細工されたリクエストを送信することで、Junos Spaceアプライアンス上で任意のシェルコマンドを実行できる可能性があります。これにより、ウェブアプリケーションを介したリモートコマンド実行が可能となり、デバイスの完全な制御を攻撃者に奪われる恐れがあります。Junos Spaceの特定のスクリプトはGETリクエストから攻撃者が制御する入力を十分にサニタイズせずに受け入れてしまいます。この脆弱性は特別に細工されたリクエストによって悪用され、Junos Spaceアプライアンス上で任意のシェルコマンドを実行させることが可能です。本問題はJunos Space 24.1R1に影響を及ぼし、それ以前のJunos Spaceのバージョンには影響しません。 |
| Possible impacts | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | Oct. 11, 2024, midnight |
| Registration Date | Jan. 26, 2026, 7:40 p.m. |
| Last Update | Jan. 26, 2026, 7:40 p.m. |
| ジュニパーネットワークス |
| Junos Space 24.1 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年01月26日] 掲載 |
Jan. 26, 2026, 7:40 p.m. |