Se han descubierto vulnerabilidades de severidad crítica y alta en productos Juniper Networks. Un actor malicioso podría eludir mecanismos de autenticación, obtener acceso no autorizado a recursos restringidos o provocar una denegación de servicio en los sistemas afectados.
Productos afectados
- Juniper Secure Analytics (JSA) 7.5.x, versiones anteriores a 7.5.0 UP14 IF01.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-23048: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de omisión de control de acceso en el componente Apache HTTP Server (mod_ssl) integrado. Un actor malicioso remoto podría eludir las restricciones de seguridad mediante la reanudación de sesiones TLS 1.3, permitiendo el acceso no autorizado a hosts virtuales protegidos.
CVE-2025-32988: con una puntuación de 8.2 en CVSS v3.1. Existe una vulnerabilidad de liberación doble en la biblioteca GnuTLS. Un actor malicioso remoto podría provocar una denegación de servicio o corrupción de memoria mediante el envío de entradas de Nombre Alternativo del Sujeto (SAN) malformadas que contengan un «otherName» específico.
CVE-2025-32990: con una puntuación de 8.2 en CVSS v3.1. Existe una vulnerabilidad de heap buffer overflow en la lógica de análisis de plantillas de GnuTLS. Un actor malicioso remoto podría causar una escritura de puntero nulo fuera de los límites, resultando en la caída del sistema y una denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias