प्लेटफ़ॉर्म
juniper
घटक
juniper-ctp-os
में ठीक किया गया
9.2.1
CVE-2026-33771 जुनिपर नेटवर्क्स CTP ऑपरेटिंग सिस्टम में पासवर्ड प्रबंधन फ़ंक्शन में एक कमजोरी है। इस कमजोरी का फायदा उठाकर, एक हमलावर स्थानीय खातों के कमजोर पासवर्ड का उपयोग कर डिवाइस पर पूर्ण नियंत्रण प्राप्त कर सकता है। यह समस्या CTP OS के 9.2R1 और 9.2R2 संस्करणों को प्रभावित करती है। फिलहाल, इस समस्या के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
CVE-2026-33771 Juniper Networks CTP OS के पासवर्ड प्रबंधन फ़ंक्शन को प्रभावित करता है। यह एक अनधिकृत, नेटवर्क-आधारित हमलावर को स्थानीय खातों के कमजोर पासवर्ड का फायदा उठाने और संभावित रूप से डिवाइस पर पूर्ण नियंत्रण प्राप्त करने की अनुमति देता है। समस्या यह है कि, यद्यपि प्रशासनिक मेनू पासवर्ड जटिलता आवश्यकताओं को कॉन्फ़िगर करने की अनुमति देता है, इन सेटिंग्स को सहेजा नहीं जाता है। मेनू विकल्प 'पासवर्ड आवश्यकताएँ दिखाएँ' के साथ इस समस्या को सत्यापित किया जा सकता है, जहाँ कॉन्फ़िगर किए गए नीतियाँ लागू नहीं होती हैं। यह एक महत्वपूर्ण सुरक्षा जोखिम पैदा करता है, क्योंकि हमलावर आसानी से अनुमान लगाने योग्य या सामान्य पासवर्ड का उपयोग करके एक्सेस प्राप्त कर सकते हैं।
Juniper Networks CTP OS चलाने वाले डिवाइस तक नेटवर्क एक्सेस रखने वाला एक हमलावर इस भेद्यता का फायदा उठा सकता है। पासवर्ड कॉन्फ़िगरेशन मेनू तक पहुंचने के लिए किसी पूर्व प्रमाणीकरण की आवश्यकता नहीं है। हमलावर को केवल डिवाइस के प्रशासनिक इंटरफ़ेस तक पहुंचने में सक्षम होना चाहिए। एक बार अंदर होने के बाद, वे दिखने में जटिल पासवर्ड आवश्यकताएँ कॉन्फ़िगर कर सकते हैं, लेकिन इन्हें लागू नहीं किया जाएगा, जिससे कमजोर पासवर्ड का उपयोग करने की अनुमति मिलती है। KEV (नॉलेज इंजीनियरिंग भेद्यता) की अनुपस्थिति इस भेद्यता के सक्रिय शोषण के बारे में सीमित जानकारी का संकेत देती है, लेकिन संभावित जोखिम अभी भी मौजूद है।
Organizations heavily reliant on Juniper Networks CTP OS for network management and control are particularly at risk. This includes service providers, large enterprises, and government agencies. Legacy deployments with outdated configurations and weak password policies are especially vulnerable, as are environments where CTP OS devices are directly exposed to the internet without adequate security controls.
• linux / server:
journalctl -u juniper-ctp-os | grep -i 'password requirements'• linux / server:
ps aux | grep -i 'ctp_os' | grep -i 'password'• generic web: Use curl to check for password reset endpoints and attempt to bypass complexity requirements.
curl -X POST -d 'username=testuser&password=password123' <password_reset_endpoint>disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (14% शतमक)
CISA SSVC
CVSS वेक्टर
Juniper Networks ने अभी तक CVE-2026-33771 के लिए कोई फिक्स प्रदान नहीं किया है। एक अस्थायी शमन के रूप में, सभी उपयोगकर्ता खातों के लिए मल्टी-फैक्टर प्रमाणीकरण (MFA) जैसे सख्त एक्सेस नियंत्रण लागू करने की दृढ़ता से अनुशंसा की जाती है। संदिग्ध गतिविधि के लिए सिस्टम लॉग की निरंतर निगरानी भी महत्वपूर्ण है। अधिकृत उपयोगकर्ताओं और उपकरणों तक नेटवर्क एक्सेस को सीमित करने से हमले की सतह को और कम किया जा सकता है। उपयोगकर्ताओं को Juniper Networks द्वारा जारी किए जा सकने वाले किसी भी अपडेट या पैच के बारे में सूचित रहना चाहिए। आधिकारिक फिक्स की कमी एक सक्रिय सुरक्षा रुख की आवश्यकता होती है।
Aplique las actualizaciones de seguridad proporcionadas por Juniper Networks para CTP OS. Consulte la nota de seguridad JSA107864 en el sitio web de Juniper para obtener más detalles sobre las versiones corregidas y los pasos de mitigación.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CTP OS एक ऑपरेटिंग सिस्टम है जिसका उपयोग कुछ Juniper Networks उपकरणों पर किया जाता है।
आप मेनू विकल्प 'पासवर्ड आवश्यकताएँ दिखाएँ' का उपयोग करके भेद्यता को सत्यापित कर सकते हैं। यदि प्रदर्शित कॉन्फ़िगरेशन आपके द्वारा सेट किए गए कॉन्फ़िगरेशन से मेल नहीं खाता है, तो आपका डिवाइस कमजोर है।
हाँ, नेटवर्क एक्सेस को सीमित करें, सिस्टम लॉग की निगरानी करें और मौजूदा पासवर्ड को मजबूत पासवर्ड में बदलने पर विचार करें, हालांकि यह अंतर्निहित भेद्यता को संबोधित नहीं करता है।
वर्तमान में फिक्स के लिए कोई अनुमानित रिलीज़ तिथि नहीं है। अपडेट के लिए Juniper Networks सुरक्षा सलाहकारों की निगरानी करने की अनुशंसा की जाती है।
KEV (नॉलेज इंजीनियरिंग भेद्यता) इंगित करता है कि एक भेद्यता की शोषण प्रक्रिया प्रलेखित और समझी गई है। KEV की अनुपस्थिति का मतलब यह नहीं है कि भेद्यता खतरनाक नहीं है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।