关键漏洞信息 漏洞概述 CVE编号: CVE-2025-52950 产品受影响: Juniper Security Director 24.4.1 严重性: Critical CVSS评分: - CVSS v3.1: 9.6 (AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H) - CVSS v4.0: 6.4 (AV:N/AC:L/AT:N/PR:L/UI:N/V:C:L/VL:VA/N/SC:N/SI:H/SA:H) 问题描述 漏洞类型: 缺少授权验证 影响: 未授权的网络攻击者可以通过Web界面读取或篡改多个敏感资源。 具体问题: Juniper Security Director设备上的多个端点未验证授权,将信息传递给超出其授权级别的调用者。攻击者可以访问用户授权级别之外的数据,这些数据可用于获取更多权限或进行其他攻击,影响下游管理设备。 解决方案 修复版本: Juniper Security Director Software Bundle Update 24.4.1-1703 及后续版本 绕过方法 使用访问控制列表或防火墙过滤器限制仅受信任主机访问Web界面。 相关链接 Juniper Networks SIRT Quarterly Security Bulletin Publication Process In which releases are vulnerabilities fixed? Common Vulnerability Scoring System (CVSS) and Juniper's Security Advisories Report a Security Vulnerability - How to Contact the Juniper Networks Security Incident Response Team CVE Record