Juniper Networks بهروزرسانیهای امنیتی را جهت رفع یک نقص امنیتی حیاتی منتشر کرد که بر محصولات Session Smart Router، Session Smart Conductor و WAN Assurance Router تأثیر میگذارد و میتواند به منظور هایجک کنترل دستگاههای آسیبپذیر مورد سوء استفاده قرار گیرد.
نقص دور زدن احراز هویت با شناسه CVE-2025-21589 و امتیاز CVSS v3.1 9.8، با استفاده از یک مسیر یا آسیبپذیری کانال جایگزین در روتر هوشمند Juniper Networks Session ممکن است به مهاجم مبتنی بر شبکه اجازه دهد تا احراز هویت را دور بزند و کنترل مدیریتی دستگاه را در دست بگیرد.
این آسیبپذیری در نسخههای Session Smart Router SSR-5.6.17، SSR-6.1.12-lts، SSR-6.2.8-lts، SSR-6.3.3-r2 و جدیدتر برطرف شده است و محصولات و نسخههای زیر را تحت تأثیر قرار میدهد:
- Session Smart Router: از 5.6.7 قبل از 5.6.17، از 6.0.8، از 6.1 قبل از 6.1.12-lts، از 6.2 قبل از 6.2.8-lts و از 6.3 قبل از 6.3.3-r2
- Session Smart Conductor: از 5.6.7 قبل از 5.6.17، از 6.0.8، از 6.1 قبل از 6.1.12-lts، از 6.2 قبل از 6.2.8-lts و از 6.3 قبل از 6.3.3-r2
- WAN Assurance Managed Routers: از 5.6.7 قبل از 5.6.17، از 6.0.8، از 6.1 قبل از 6.1.12-lts، از 6.2 قبل از 6.2.8-lts، و از 6.3 قبل از 6.3.3-r2
https://www.bleepingcomputer.com/news/security/juniper-patches-critical-auth-bypass-in-session-smart-routers/
https://thehackernews.com/2025/02/juniper-session-smart-routers.html
