Zpětná vazba k reportu

Neautentizovanému vzdálenému útočníkovi je kvůli chybě typu Use After Free v démonu směrovacího protokolu (RPD) v systémech Juniper Networks Junos OS a Junos OS Evolved umožněno zasláním speciálně upravené BGP aktualizace s poškozeným AS PATH vykonat DoS útok. Systémy bez aktivovaných BGP traceoptions nejsou ohroženy [2].

Zranitelnost se nachází v produktech:

• Junos OS ve verzích (<21.2R3-S9) OR (=21.4) OR (>=22.2 AND <22.2R3-S6) OR (>=22.4 AND <22.4R3-S5) OR (>=23.2 AND <23.2R2-S3) OR (>=23.4 AND <23.4R2-S4) OR (>=24.2 AND <24.2R2)
• Junos OS Evolved ve verzích (<22.4R3-S5-EVO) OR (>=23.2-EVO AND <23.2R2-S3-EVO) OR (>=23.4-EVO AND <23.4R2-S4-EVO) OR (>=24.2-EVO AND <24.2R2-EVO)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

• CVE-2025-52946 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-416: Use After Free at cwe.mitre.org

Zranitelnost byla veřejně oznámena 9. 7. 2025.

Neautentizovanému vzdálenému útočníkovi je kvůli chybné interpretaci pořadí bajtů v démonu směrovacího protokolu (RPD) v systému Juniper Networks Junos OS na zařízeních řady SRX300 umožněno zasláním BGP aktualizace s platným volitelným přenositelným atributem vykonat DoS útok. Zranitelnost postihuje eBGP i iBGP spojení přes IPv4 i IPv6 [3].

Zranitelnost se nachází v produktu Junos OS ve verzích (>=22.1R1 AND <22.2R3-S4) OR (>=22.3 AND <22.3R3-S3 AND >=22.4 AND <22.4R3-S2) OR (>=23.2 AND <23.2R2) OR (>=23.4 AND <23.4R2.).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

• CVE-2025-52980 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-198: Use of Incorrect Byte Ordering at cwe.mitre.org

Zranitelnost byla veřejně oznámena 9. 7. 2025.

Autentizovanému lokálnímu útočníkovi je kvůli chybějící autorizaci v interním virtuálním směrování a přeposílání (VRF) v systému Juniper Networks Junos OS Evolved umožněno získat oprávnění root, vykonávat libovolné příkazy a upravovat jeho konfiguraci, čímž může plně kompromitovat celý systém [4].

Zranitelnost se nachází v produktu Junos OS Evolved ve verzích (<22.2R3-S7-EVO) OR (>=22.4 AND <22.4R3-S7-EVO) OR (>=23.2 AND <23.2R2-S4-EVO) OR (>=23.4 AND <23.4R2-S5-EVO) OR (>=24.2 AND <24.2R2-S1-EVO) OR (>=24.4 AND <24.4R1-S2-EVO) OR (=24.4R2-EVO).

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

• CVE-2025-52954 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-862: Missing Authorization at cwe.mitre.org

Zranitelnost byla veřejně oznámena 9. 7. 2025.

Neautentizovanému vzdálenému útočníkovi je kvůli nesprávné kontrole podmínek v démonu pro zpracování toků (flowd) v systému Juniper Networks Junos OS na zařízeních SRX1600, SRX2300, řady SRX 4000 a SRX5000 se SPC3 umožněno prostřednictvím zaslání sekvence specifických PIM paketů vykonat DoS útok [5].

Zranitelnost se nachází v produktu Junos OS ve verzích (<21.2R3-S9) OR (>=21.4 AND <21.4R3-S11) OR (>=22.2 AND <22.2R3-S7) OR (>=22.4 AND <22.4R3-S6) OR (>=23.2 AND <23.2R2-S4) OR (>=23.4 AND <23.4R2-S4) OR (>=24.2 AND <24.2R2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

• CVE-2025-52981 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-754: Improper Check for Unusual or Exceptional Conditions at cwe.mitre.org

Zranitelnost byla veřejně oznámena 9. 7. 2025.