CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2023-36845

CVSS 9.8v3.1pub. 2023-08-17upd. 2025-10-24

A PHP External Variable Modification vulnerability in J-Web of Juniper Networks Junos OS on EX Series and SRX Series allows an unauthenticated, network-based attacker to remotely execute code. Using a crafted request which sets the variable PHPRC an attacker is able to modify the PHP execution environment allowing the injection und execution of code. This issue affects Juniper Networks Junos OS on EX Series and SRX Series: * All versions prior to 20.4R3-S9; * 21.1 versions 21.1R1 and later; * 21.2 versions prior to 21.2R3-S7; * 21.3 versions prior to 21.3R3-S5; * 21.4 versions prior to 21.4R3-S5; * 22.1 versions prior to 22.1R3-S4; * 22.2 versions prior to 22.2R3-S2; * 22.3 versions prior to 22.3R2-S2, 22.3R3-S1; * 22.4 versions prior to 22.4R2-S1, 22.4R3; * 23.2 versions prior to 23.2R1-S1, 23.2R2.

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Juniper Junos

    OS
    Juniper
    20.421.121.221.321.422.122.222.322.423.2< 20.4
  • Juniper Srx100

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx110

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx1400

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx1500

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx210

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx220

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx240

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx240h2

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx240m

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx300

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx320

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx340

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx3400

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx345

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx3600

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx380

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx4000

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx4100

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx4200

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx4600

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx5000

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx5400

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx550

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx550 Hm

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx550m

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx5600

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx5800

    HW
    Juniper
    wszystkie wersje
  • Juniper Srx650

    HW
    Juniper
    wszystkie wersje

CISA KEV — szczegółyi

Dostawcai
Juniper
Produkti
Junos OS
Data dodania do KEVi
13 listopada 2023
Termin remediation (USA)i
17 listopada 2023(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Juniper Junos OS na serii EX i serii SRX zawiera lukę w modyfikacji zmiennych zewnętrznych PHP, która pozwala nieuwierzytelnionemu atakującemu z sieci kontrolować ważną zmienną środowiskową. Przy użyciu spreparowanego żądania, które ustawia zmienną PHPRC, atakujący może zmodyfikować środowisko wykonania PHP, umożliwiając wstrzyknięcie i wykonanie kodu.

tłumaczenie AI
Pokaż oryginał (EN)

Juniper Junos OS on EX Series and SRX Series contains a PHP external variable modification vulnerability that allows an unauthenticated, network-based attacker to control an important environment variable. Using a crafted request, which sets the variable PHPRC, an attacker is able to modify the PHP execution environment allowing the injection und execution of code.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 17 listopada 2023
CWE
Referencje

Powiązane podatności

CVE-2024-21591CRITICAL9.8PL ✓ten sam produkt

Out-of-bounds Write w J-Web Juniper Junos OS — RCE z uprawnieniami root

CVE-2021-0254CRITICAL9.8ten sam produkt

A buffer size validation vulnerability in the overlayd service of Juniper Networks Junos OS may allow an unaut...

CVE-2021-0248CRITICAL10.0ten sam produkt

This issue is not applicable to NFX NextGen Software. On NFX Series devices the use of Hard-coded Credentials ...

CVE-2021-0211CRITICAL10.0ten sam produkt

An improper check for unusual or exceptional conditions in Juniper Networks Junos OS and Junos OS Evolved Rout...

CVE-2020-1654CRITICAL9.8ten sam produkt

On Juniper Networks SRX Series with ICAP (Internet Content Adaptation Protocol) redirect service enabled, proc...