支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-52987 基础信息
漏洞信息
                                        # Paragon Automation 点击劫持漏洞已修复

## 概述
Juniper Networks Paragon Automation(Pathfinder、Planner、Insights)的Web门户存在点击劫持漏洞,因未正确设置X-Frame-Options和X-Content-Type-Options HTTP响应头。

## 影响版本
Paragon Automation(Pathfinder、Planner、Insights)所有早于24.1.1的版本。

## 细节
该漏洞由于Web门户未设置适当的X-Frame-Options和X-Content-Type-Options HTTP头,导致页面可被嵌入恶意网站的iframe中,无法有效防御点击劫持攻击。

## 影响
攻击者可构造恶意页面,诱使用户在不知情的情况下与Paragon Automation的Web界面进行交互,可能导致用户误操作或敏感操作被劫持。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Paragon Automation: A clickjacking vulnerability in the web server configuration has been addressed
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A clickjacking vulnerability exists in the web portal of Juniper Networks Paragon Automation (Pathfinder, Planner, Insights) due to the application's failure to set appropriate X-Frame-Options and X-Content-Type HTTP headers. This vulnerability allows an attacker to trick users into interacting with the interface under the attacker's control.  This issue affects all versions of Paragon Automation (Pathfinder, Planner, Insights) before 24.1.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
不当限制渲染UI层或帧
来源:美国国家漏洞数据库 NVD
漏洞标题
Juniper Networks Paragon Automation 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Juniper Networks Paragon Automation是美国瞻博网络(Juniper Networks)公司的一款自动化运维平台。 Juniper Networks Paragon Automation 24.1.1之前版本存在安全漏洞,该漏洞源于Web门户未设置适当的X-Frame-Options和X-Content-Type HTTP标头,可能导致点击劫持攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-52987 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-52987 的情报信息

  • 标题: Home -- 🔗来源链接

    标签:vendor-advisory

    神龙速读:
                                            从这个网页截图中,我们可以获取到以下关于漏洞的关键信息:

1. **登录提示**:网页提示用户需要登录才能查看安全内容和管理支持案件。
2. **账户注册**:网页提供了一个链接,允许用户注册新账户。
3. **支持门户**:网页显示这是一个Juniper Support Portal,用户可以在这里找到支持和帮助。
4. **版权信息**:网页底部显示了版权信息,表明该页面属于Juniper Networks,Inc.,并保留所有权利。

这些信息可以帮助我们了解用户需要登录才能访问安全内容,以及如何注册新账户。
    Home

  • 标题: 2026-01 Security Bulletin: Paragon Automation: A clickjacking vulnerability in the web server configuration has been addressed (CVE-2025-52987) -- 🔗来源链接

    标签:vendor-advisory

    神龙速读:
                                            ### 关键信息

- **漏洞编号**: CVE-2025-52987
- **受影响产品**: 所有版本的 Paragon Automation(Pathfinder、Planner、Insights)
- **问题描述**: 在Juniper Networks Paragon Automation的Web门户中存在一个Clickjacking漏洞,原因是在配置中未能正确设置X-Frame-Options和X-Content-Type选项,使攻击者可诱骗用户与被控制的界面交互。
- **漏洞严重性**: 中等  
  - **CVSS评分**: 6.1(v3.1)
  - 详细评分标准: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:A/N
  - **CVSS v4.0评分**: 5.1
  - 详细评分标准: AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/RE:M
- **解决办法**: 已在24.1.1及后续版本中修复该问题。
- **追踪编号**: DV-6555
- **注意**: Juniper SIRT不会评估超出工程寿命周期(EOE)或生命周期结束(EOL)的版本。
- **变通方法**: 无已知的变通解决方案。
- **发布时间**: 2026-01-14
- **漏洞公告相关链接**: 
    - Juniper SIRT季度安全公告发布流程 KB16613
    - 修复了哪些漏洞的版本发布? KB16765
    - CVSS常见漏洞评分系统和Juniper的安全公告 KB16446
    - 漏洞报告流程 - 联系Juniper网络安全事件响应团队
    2026-01 Security Bulletin: Paragon Automation: A clickjacking vulnerability in the web server configuration has been addressed (CVE-2025-52987)
  • https://nvd.nist.gov/vuln/detail/CVE-2025-52987
四、漏洞 CVE-2025-52987 的评论

暂无评论

发表评论