Falha crítica em roteadores Juniper Session Smart permite que Hackers contornem autenticação

A Juniper Networks lançou atualizações de segurança para corrigir uma falha crítica que afeta os produtos Session Smart Router, Session Smart Conductor e WAN Assurance Router. Essa vulnerabilidade pode ser explorada para que hackers assumam o controle administrativo de dispositivos vulneráveis.

Identificada como CVE-2025-21589, essa falha recebeu uma pontuação de 9.8 no CVSS v3.1 e 9.3 no CVSS v4, classificando-a como um risco altamente crítico.

"Uma vulnerabilidade de bypass de autenticação por meio de um caminho ou canal alternativo no Session Smart Router da Juniper Networks pode permitir que um invasor na rede ignore a autenticação e assuma o controle administrativo do dispositivo", informou a empresa em um comunicado oficial.

A falha afeta as seguintes versões e produtos:

• Session Smart Router: da versão 5.6.7 até antes da 5.6.17, versão 6.0.8, da versão 6.1 até antes da 6.1.12-lts, da versão 6.2 até antes da 6.2.8-lts e da versão 6.3 até antes da 6.3.3-r2

• Session Smart Conductor: mesmas versões citadas acima

• WAN Assurance Managed Routers: mesmas versões citadas acima

A Juniper Networks afirmou que a vulnerabilidade foi identificada durante testes internos de segurança e que não há evidências de exploração maliciosa até o momento.

A falha foi corrigida nas versões SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts e SSR-6.3.3-r2 e versões subsequentes.

"A vulnerabilidade foi corrigida automaticamente em dispositivos que operam com WAN Assurance e que estão conectados ao Mist Cloud, onde a configuração também é gerenciada", acrescentou a empresa. "No entanto, é altamente recomendável que os roteadores sejam atualizados para uma versão que contenha a correção o mais rápido possível."

Via - THN