Juniper Networks ha lanzado actualizaciones de seguridad para abordar una falla de seguridad crítica que afecta a los productos Session Smart Router, Session Smart Conductor y WAN Assurance Router y que podría explotarse para secuestrar el control de dispositivos susceptibles.
Identificada como CVE-2025-21589 , la vulnerabilidad tiene una puntuación CVSS v3.1 de 9,8 y una puntuación CVS v4 de 9,3.
«Una vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo en el enrutador inteligente de sesión de Juniper Networks puede permitir que un atacante basado en red omita la autenticación y tome el control administrativo del dispositivo», dijo la compañía en un aviso.
La vulnerabilidad afecta a los siguientes productos y versiones:
- Enrutador inteligente de sesión: desde 5.6.7 hasta 5.6.17, desde 6.0.8, desde 6.1 hasta 6.1.12-lts, desde 6.2 hasta 6.2.8-lts y desde 6.3 hasta 6.3.3-r2
- Session Smart Conductor: desde 5.6.7 hasta 5.6.17, desde 6.0.8, desde 6.1 hasta 6.1.12-lts, desde 6.2 hasta 6.2.8-lts y desde 6.3 hasta 6.3.3-r2
- Enrutadores administrados con garantía de WAN: desde la versión 5.6.7 hasta la 5.6.17, desde la versión 6.0.8, desde la versión 6.1 hasta la versión 6.1.12-lts, desde la versión 6.2 hasta la versión 6.2.8-lts y desde la versión 6.3 hasta la versión 6.3.3-r2
Juniper Networks dijo que la vulnerabilidad fue descubierta durante pruebas e investigaciones internas de seguridad del producto y que no tiene conocimiento de ninguna explotación maliciosa.
La falla se ha solucionado en las versiones SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts, SSR-6.3.3-r2 y posteriores del Session Smart Router.
«Esta vulnerabilidad ha sido corregida automáticamente en los dispositivos que funcionan con WAN Assurance (donde también se gestiona la configuración) conectados a Mist Cloud», añadió la empresa. «En la práctica, los enrutadores deberían actualizarse a una versión que contenga la solución».
Fuente y redacción: thehackernews.com
