Куда я попал?
CVE-2023-36845
PUBLISHED
30.07.2025
CNA: juniper
Junos OS: EX and SRX Series: A PHP vulnerability in J-Web allows an unauthenticated to control an important environment variable
Обновлено:
02.02.2024
A PHP External Variable Modification vulnerability in J-Web of Juniper Networks Junos OS on EX Series
and SRX Series
allows an unauthenticated, network-based attacker to remotely execute code.
Using a crafted request which sets the variable PHPRC an attacker is able to modify the PHP execution environment allowing the injection und execution of code.
This issue affects Juniper Networks Junos OS on EX Series
and
SRX Series:
* All versions prior to
20.4R3-S9;
* 21.1 versions 21.1R1 and later;
* 21.2 versions prior to 21.2R3-S7;
* 21.3 versions prior to 21.3R3-S5;
* 21.4 versions prior to 21.4R3-S5;
* 22.1 versions
prior to
22.1R3-S4;
* 22.2 versions
prior to
22.2R3-S2;
* 22.3 versions
prior to
22.3R2-S2, 22.3R3-S1;
* 22.4 versions
prior to
22.4R2-S1, 22.4R3;
* 23.2 versions prior to 23.2R1-S1, 23.2R2.
CWE
| Идентификатор | Описание |
|---|---|
| CWE-473 | CWE-473 PHP External Variable Modification |
БДУ ФСТЭК
| Идентификатор | Описание |
|---|---|
| BDU:2023-04994 | Уязвимость интерфейса J-Web операционных систем Juniper Networks Junos OS устройств серии SRX и EX, позволяющая нарушителю оказать воздействие на целостность данных |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20230920-14 | 20.09.2023 | Внедрение кода в Juniper Junos OS |
CVSS
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 9.8 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Доп. Информация
Product Status
| Junos OS | |||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Product: | Junos OS | ||||||||||||||||||||||
| Vendor: | Juniper Networks | ||||||||||||||||||||||
| Default status: | unaffected | ||||||||||||||||||||||
| Platforms: |
|
||||||||||||||||||||||
| Версии: |
|
||||||||||||||||||||||
Ссылки
CVE Program Container
Обновлено:
02.08.2024
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.
Ссылки
CISA ADP Vulnrichment
Обновлено:
30.07.2025
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.
SSVC
| Exploitation | Automatable | Technical Impact | Версия | Дата доступа |
|---|---|---|---|---|
| active | yes | total | 2.0.3 | 15.11.2023 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.