| 概要 | A Command Injection vulnerability in Juniper Networks Junos Space allows an unauthenticated, network-based attacker sending a specially crafted request to execute arbitrary shell commands on the Junos Space Appliance, leading to remote command execution by the web application, gaining complete control of the device. A specific script in the Junos Space web application allows attacker-controlled input from a GET request without sufficient input sanitization. A specially crafted request can exploit this vulnerability to execute arbitrary shell commands on the Junos Space Appliance. This issue affects Junos Space 24.1R1. Previous versions of Junos Space are unaffected by this vulnerability. |
|---|---|
| 公表日 | 2024年10月12日1:15 |
| 登録日 | 2024年10月12日5:00 |
| 最終更新日 | 2024年10月15日21:58 |
| タイトル | ジュニパーネットワークスのJunos Spaceにおけるコマンドインジェクションの脆弱性 |
|---|---|
| 概要 | Juniper Networks Junos Spaceにはコマンドインジェクションの脆弱性が存在し、認証されていないネットワーク経由の攻撃者が特別に細工されたリクエストを送信することで、Junos Spaceアプライアンス上で任意のシェルコマンドを実行できる可能性があります。これにより、ウェブアプリケーションを介したリモートコマンド実行が可能となり、デバイスの完全な制御を攻撃者に奪われる恐れがあります。Junos Spaceの特定のスクリプトはGETリクエストから攻撃者が制御する入力を十分にサニタイズせずに受け入れてしまいます。この脆弱性は特別に細工されたリクエストによって悪用され、Junos Spaceアプライアンス上で任意のシェルコマンドを実行させることが可能です。本問題はJunos Space 24.1R1に影響を及ぼし、それ以前のJunos Spaceのバージョンには影響しません。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2024年10月11日0:00 |
| 登録日 | 2026年1月26日19:40 |
| 最終更新日 | 2026年1月26日19:40 |
| ジュニパーネットワークス |
| Junos Space 24.1 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年01月26日] 掲載 |
2026年1月26日19:40 |