Une vulnérabilité critique a été identifiée sur les versions 2.7, 2.11 et 2.15 de la plateforme de gestion des applications AppFormix de Juniper Networks. L'exploitation de cette vulnérabilité pourrait permettre l'exécution de commandes arbitraires avec des privilèges administrateur (root).
L'agent AppFormix expose la console de débogage sur un hôte où l'agent AppFormix est en cours d'exécution. Ceci pourrait permettre à un utilisateur malveillant disposant d'un accès à la plate-forme AppFormix d’accéder à une console de débogage Python et exécuter des commandes système avec des privilèges root
Impact
- Exécution des commandes avec des privilèges root
Criticité
- CVSS v3 : 9.8
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
Les versions d'AppFormix concernées sont:
- Les versions de 2.7.x ;
- Les versions 2.11.x antérieures à 2.11.3 ;
- Les versions 2.15.x antérieures à 2.15.2.
CVE
- CVE-2018-0015
Correctifs
- Il est recommandé d’appliquer les correctifs de cette vulnérabilité : AppFormix v2.11.3, v2.15.2 et toutes les versions ultérieures. Ces versions sont disponibles en suivant ce lien : https://www.juniper.net/support/downloads/?p=appformix
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.