研究人員發現Juniper Networks Support Insights (JSI) Virtual Lightweight Collector (vLWC)與Junos OS MX系列路由器存在高風險安全漏洞(CVE-2026-33784與CVE-2026-33785)，類型分別為使用預設密碼(Use of Default Password)與授權檢查不足(Missing Authorization)。請儘速確認並進行修補。
 

• CVE-2026-33784：由於系統未強制變更高權限帳號之預設密碼，可使未經身分鑑別之遠端攻擊者透過使用預設帳密登入系統，進而取得設備完整控制權。
• CVE-2026-33785：於採用Connected Security Distributed Services (CSDS)之MX路由器，因Junos OS權限控管不當，可使低權限本機端使用者於未授權之情況下執行高權限CLI指令(request csds)，進而影響由該設備所管理之系統與服務。

影響平台

【CVE-2026-33784】
   Juniper vLWC 3.0.94(不含)以前版本

【CVE-2026-33785】
   Juniper Junos OS MX系列24.4R2-S3(不含)以前版本
   Juniper Junos OS MX系列25.2R2(不含)以前版本

 

處置建議

 
官方已針對漏洞釋出修復更新，請參考官方說明進行更新，網址如下：
https://supportportal.juniper.net/s/article/2026-04-Security-Bulletin-vLWC-Default-password-is-not-required-to-be-changed-which-allows-unauthorized-high-privileged-access-CVE-2026-33784
https://supportportal.juniper.net/s/article/2026-04-Security-Bulletin-Junos-OS-MX-Series-Missing-Authorization-for-specific-request-CLI-commands-in-a-JDM-CSDS-scenario-CVE-2026-33785

 

參考資料

1. https://nvd.nist.gov/vuln/detail/CVE-2026-33784
2. https://nvd.nist.gov/vuln/detail/CVE-2026-33785
3. https://supportportal.juniper.net/s/article/2026-04-Security-Bulletin-vLWC-Default-password-is-not-required-to-be-changed-which-allows-unauthorized-high-privileged-access-CVE-2026-33784
4. https://supportportal.juniper.net/s/article/2026-04-Security-Bulletin-Junos-OS-MX-Series-Missing-Authorization-for-specific-request-CLI-commands-in-a-JDM-CSDS-scenario-CVE-2026-33785