本週，Juniper Networks發布了近 30 個漏洞的補丁，其中包括 Junos OS 和 Junos OS Evolved 的漏洞，這些漏洞可能導致權限提升、拒絕服務 (DoS) 和命令執行。其中最嚴重的漏洞是 CVE-2026-33784（CVSS 評分為 9.8），它是 Support Insights (JSI) 虛擬輕量級收集器 (vLWC) 中的一個預設密碼，可遠端利用來接管易受攻擊的裝置。

Juniper Networks解釋道：「vLWC軟體鏡像出廠時會附帶一個高權限帳戶的初始密碼。在軟體配置過程中，不會強制更改此密碼，這可能導致未經授權的人員完全存取系統。」

Juniper Networks 也解決了 CTP OS 中的一個弱密碼問題，該問題可能允許遠端的、未經身份驗證的攻擊者完全控制設備。此安全缺陷編號為 CVE-2026-33771，原因是與密碼複雜度要求相關的設定未保存，導致使用弱密碼，這些弱密碼可能被猜到並受到攻擊。Juniper Networks Apstra 中存在一個高風險 SSH 主機金鑰驗證漏洞，該漏洞可能被利用進行中間人 (MITM) 攻擊以擷取使用者憑證。

Junos OS 中的多個高風險漏洞可能允許攻擊者透過精心建構的封包造成 DoS 攻擊，直接存取設備上安裝的 FPC，取得 root 權限並接管設備，以及執行命令來破壞受管設備。本週解決的其餘安全缺陷屬於中等嚴重程度的漏洞，攻擊者可以利用這些漏洞造成拒絕服務攻擊、執行提升權限的命令、獲得 root 權限、影響下游網路的完整性、讀取敏感資訊、繞過配置的防火牆過濾器或以 root 身份注入任意 shell 命令。

資料來源：https://www.securityweek.com/juniper-networks-patches-dozens-of-junos-os-vulnerabilities/