Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

18/09/2014

Vulnerabilidad XSS en productos Juniper Networks SSL VPN/UAC

Se ha encontrado una vulnerabilidad de tipo XSS en productos Juniper Networks SSL VPN/UAC, provocada por una validación incorrecta de los datos introducidos por usuarios en el servidor web SSL VPN/UAC.

La correcta explotación del fallo podría provocar que un atacante robase la sesión de un usuario, provocase la interrupción del servicio, o incluso la divulgación de información sensible.

La vulnerabilidad ha recibido el identificador CVE-2014-3820 y una puntuación CVSS 9.3 de 10.0.

Sistemas Afectados:

• SA700
• SA2500
• FIPS SA4000
• SA4500
• FIPS SA4500
• FIPS SA6000
• SA6500
• FIPS SA6500
• MAG2600
• MAG4610
• MAG6610
• MAG6611
• IC4000
• IC4500
• IC6000
• IC6500
• FIPS IC6500

Las versiones de software afectadas incluyen IVE OS: 8.0, 7.4, 7.1, y UAC 5.0, 4.4, y 4.1

Referencias:

None

Solución:

Actualizar a las siguientes versiones de software:

• SA/MAG (IVE OS): 8.0r1, 7.4r3, 7.1r16 o superior.
• UAC OS: 5.0r1, 4.4r3, 4.1r8 o superior.

Notas:

• 2014-09 Security Bulletin: Junos Pulse Secure Access Service (SSL VPN) and Junos Pulse Access Control Service (UAC): Cross site scripting issue (CVE-2014-3820) 

CSIRT-CV