A Juniper Networks lançou atualizações para corrigir uma vulnerabilidade crítica de execução remota de código (RCE) em seus firewalls da série SRX e switches da série EX. A falha, identificada como CVE-2024-21591, recebeu uma pontuação de 9.8 no sistema de pontuação CVSS.

A vulnerabilidade é uma falha de escrita fora dos limites no J-Web da Juniper Networks Junos OS SRX Series e EX Series, que permite a um atacante não autenticado causar uma negação de serviço (DoS) ou execução remota de código (RCE) e obter privilégios de root no dispositivo.

A empresa, que está prestes a ser adquirida pela Hewlett Packard Enterprise (HPE) por 14 bilhões de dólares, disse que o problema é causado pelo uso de uma função insegura que permite a um ator mal-intencionado sobrescrever a memória arbitrariamente.

A Juniper Networks também resolveu um bug de alta gravidade no Junos OS e Junos OS Evolved (CVE-2024-21611, pontuação CVSS: 7.5) que poderia ser utilizado por um atacante não autenticado e baseado em rede para causar uma condição de DoS. Embora não haja evidências de que as vulnerabilidades estejam sendo exploradas ativamente, várias falhas de segurança que afetam os firewalls SRX e switches EX da empresa foram abusadas por atores de ameaças no ano passado.