Boletín mensual de seguridad de Juniper: octubre 2025
Juniper Networks Junos Space anteriores a la versión 24.1R4 del parche V1.
Juniper ha publicado en su boletín de seguridad 115 vulnerabilidades, de las cuales 9 son de severidad crítica, 64 altas, 61 medias, 6 bajas y al resto no se les ha asignado criticidad.
Se han actualizado versiones de software para resolver estos problemas en Junos Space 24.1R4 Patch V1 y todas las versiones posteriores.
- CVE-2019-12900: la función ‘BZ2_decompress’ en el archivo decompress.c en bzip2 hasta 1.0.6, presenta una escritura fuera de límites cuando hay muchos selectores.
- CVE-2023-38408: la característica PKCS#11 en ssh-agent en OpenSSH anterior a 9.3p2 tiene una ruta de búsqueda insuficientemente confiable, lo que lleva a la ejecución remota de código si un agente se reenvía a un sistema controlado por un atacante.
- CVE-2024-27280: problema de sobrelectura del búfer en StringIO 3.0.1, distribuido en Ruby 3.0.x hasta 3.0.6 y 3.1.x hasta 3.1.4. Los métodos ungetbyte y ungetc en StringIO pueden leer más allá del final de una cadena, y una llamada posterior a StringIO.gets puede devolver el valor de la memoria.
- CVE-2024-47615: escritura OOB en la función ‘gst_parse_vorbis_setup_packet’ dentro de ‘vorbis_parse.c’. Esta escritura OOB puede sobrescribir hasta 380 bytes de memoria más allá de los límites de la matriz ‘pad->vorbis_mode_sizes’.
- CVE-2024-47607: desbordamiento del búfer de pila en la función ‘gst_opus_dec_parse_header’ dentro de ‘gstopusdec.c’. Este error permite sobrescribir la dirección EIP asignada en la pila.
- CVE-2024-47538: desbordamiento del búfer de pila en la función ‘vorbis_handle_identification_packet’ dentro de ‘gstvorbisdec.c’. este error puede sobrescribir la estructura de información GstAudioInfo.
- CVE-2024-35845: en el kernel de Linux, se ha resuelto la vulnerabilidad: ‘wifi: iwlwifi: dbg-tlv’. El ‘iwl_fw_ini_debug_info_tlv’ se usa como una cadena, por lo que debemos asegurarnos de que la cadena termine correctamente antes de usarla.
- CVE-2024-38428: ‘url.c’ en GNU Wget hasta 1.24.5 maneja mal los puntos y comas en el subcomponente de información de usuario de un URI y, por lo tanto, puede haber un comportamiento inseguro en el que los datos.
- CVE-2024-3596: el protocolo RADIUS según RFC 2865 es susceptible a ataques de falsificación por parte de un atacante local que puede modificar cualquier respuesta válida utilizando un ataque de colisión de prefijo elegido contra la firma del autenticador de respuesta MD5.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.