Vulnerabilidades en productos Juniper Networks

14/04/2026 Noticias 0

Se han descubierto vulnerabilidades de severidad alta en productos Juniper Networks. Un actor malicioso podría ejecutar código arbitrario, realizar una escalada de privilegios o comprometer la disponibilidad del servicio en los sistemas afectados.

Productos afectados

Junos OS (Serie MX):

  • Versiones 24.4 anteriores a 24.4R2-S3.
  • Versiones 25.2 anteriores a 25.2R2.

Junos OS y Junos OS Evolved:

  • Todas las versiones anteriores a 22.4R3-S7 / 22.4R3-S7-EVO.
  • Versiones 23.2 anteriores a 23.2R2-S4 / 23.2R2-S4-EVO.
  • Versiones 23.4 anteriores a 23.4R2-S6 / 23.4R2-S6-EVO.
  • Versiones 24.2 anteriores a 24.2R1-S2, 24.2R2 / 24.2R2-EVO.
  • Versiones 24.4 anteriores a 24.4R1-S2, 24.4R2 / 24.4R1-S1-EVO, 24.4R2-EVO.

Junos OS Evolved (Serie PTX con JNP10K-LC1201/LC1202):

  • Todas las versiones anteriores a 21.2R3-S8-EVO.
  • Versiones 21.4-EVO anteriores a 21.4R3-S7-EVO.
  • Versiones 22.2-EVO anteriores a 22.2R3-S4-EVO.
  • Versiones 22.3-EVO anteriores a 22.3R3-S3-EVO.
  • Versiones 22.4-EVO anteriores a 22.4R3-S2-EVO.
  • Versiones 23.2-EVO anteriores a 23.2R2-EVO.

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2026-33785: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de ausencia de autorización en la interfaz de línea de comandos. Un actor malicioso local y autenticado con bajos privilegios podría ejecutar comandos específicos de operación «request csds» que permitirían el compromiso completo de los dispositivos gestionados.

CVE-2026-33793: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de ejecución con privilegios innecesarios en la interfaz de usuario. Un actor malicioso local con privilegios limitados podría ejecutar scripts de operación Python maliciosos no firmados para obtener privilegios de superusuario y comprometer la integridad del sistema.

CVE-2026-33788: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de ausencia de autenticación para funciones críticas en los Concentradores PIC Flexibles. Un actor malicioso local y autenticado podría obtener acceso directo como usuario de altos privilegios a los FPC instalados, lo que podría derivar en un compromiso total del componente afectado.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://www.cve.org/CVERecord?id=CVE-2026-33788
https://www.cve.org/CVERecord?id=CVE-2026-33793
https://www.cve.org/CVERecord?id=CVE-2026-33785