प्लेटफ़ॉर्म
juniper
घटक
juniper-junos
में ठीक किया गया
21.2R3-S10
21.4R3-S12
22.2R3-S8
22.4R3-S9
23.2R2-S6
23.4R2-S7
24.2R2-S3
24.4R2-S3
25.2R1-S2, 25.2R2
21.3*
22.1*
22.3*
CVE-2026-33790 Juniper Networks Junos OS के SRX सीरीज में flow daemon (flowd) में एक 'Improper Check for Unusual or Exceptional Conditions' भेद्यता है। एक हमलावर विशेष रूप से निर्मित, गलत ICMPv6 पैकेट भेजकर srxpfe प्रक्रिया को क्रैश कर सकता है, जिससे Denial of Service (DoS) की स्थिति उत्पन्न हो सकती है। यह भेद्यता Junos OS के 0.0.0–25.2R1-S2 और 25.2R2 संस्करणों को प्रभावित करती है। Juniper ने 25.2R1-S2 और 25.2R2 में इस समस्या का समाधान किया है।
Junos OS में CVE-2026-33790 SRX श्रृंखला उपकरणों को प्रभावित करता है, जिससे एक हमलावर गलत प्रारूप वाले ICMPv6 पैकेट भेजकर सेवा से इनकार (DoS) स्थिति पैदा कर सकता है। विशेष रूप से, ICMPv6 पैकेट जिसे प्रवाह डेमॉन (flowd) के भीतर असामान्य या असाधारण स्थितियों के सत्यापन की कमी का फायदा उठाने के लिए डिज़ाइन किया गया है, srxpfe प्रक्रिया को क्रैश और रीस्टार्ट करने का कारण बन सकता है। इन दुर्भावनापूर्ण पैकेटों की निरंतर प्राप्ति और प्रसंस्करण srxpfe प्रक्रिया को क्रैश-रीस्टार्ट लूप में रखता है, जिससे DoS स्थिति बनी रहती है। यह भेद्यता NAT64 अनुवाद के दौरान शोषण की जाती है, जहां डिवाइस के लिए लक्षित गलत प्रारूप वाला ICMPv6 पैकेट त्रुटि को ट्रिगर कर सकता है। CVSS पैमाने पर इस भेद्यता की गंभीरता को 7.5 के रूप में रेट किया गया है, जो कमजोर Junos OS संस्करणों वाले SRX श्रृंखला उपकरणों का उपयोग करने वाले संगठनों के लिए महत्वपूर्ण जोखिम दर्शाता है।
CVE-2026-33790 का शोषण करने के लिए, एक हमलावर को SRX श्रृंखला डिवाइस पर ICMPv6 ट्रैफ़िक भेजने में सक्षम होना चाहिए। यह फ़ायरवॉल कॉन्फ़िगरेशन के आधार पर आंतरिक या बाहरी नेटवर्क से प्राप्त किया जा सकता है। हमलावर को एक ICMPv6 पैकेट बनाना होगा जिसे विशेष रूप से srxpfe प्रक्रिया में त्रुटि को ट्रिगर करने के लिए डिज़ाइन किया गया है। शोषण की सफलता SRX श्रृंखला डिवाइस पर चल रहे Junos OS संस्करण पर निर्भर करती है; 25.2R1-S2 और 25.2R2 से पहले के संस्करण कमजोर हैं। NAT64 हमले की सतह को बढ़ाता है क्योंकि यह डिवाइस के लिए लक्षित गलत प्रारूप वाले ICMPv6 पैकेट को संसाधित करने की अनुमति देता है, जिससे srxpfe क्रैश हो जाता है। गलत प्रारूप वाले ICMPv6 पैकेट बनाने और भेजने में आसानी इस भेद्यता को अपेक्षाकृत आसानी से शोषण करने योग्य बनाती है।
Organizations heavily reliant on Juniper SRX Series devices for network security and routing, particularly those utilizing IPv6, are at risk. Environments with exposed IPv6 networks or those lacking robust ICMPv6 filtering are especially vulnerable. Those using NAT64 translation should prioritize mitigation.
• linux / server:
journalctl -u srxpfe -f | grep crash• linux / server:
ps aux | grep srxpfe | grep -v grep• linux / server:
ss -t icmp6 -n | grep -i malformeddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CISA SSVC
CVSS वेक्टर
Juniper Networks इस भेद्यता को कम करने के लिए प्रदान किए गए सॉफ़्टवेयर अपडेट को लागू करने की दृढ़ता से अनुशंसा करता है। ठीक किए गए संस्करण Junos OS 25.2R1-S2 और 25.2R2 हैं। इन संस्करणों में अपग्रेड करने से प्रवाह डेमॉन में सत्यापन की कमी दूर हो जाती है, जिससे srxpfe प्रक्रिया क्रैश होने से बच जाती है। यदि तत्काल अपडेट संभव नहीं है, तो गलत प्रारूप वाले ICMPv6 ट्रैफ़िक को फ़िल्टर या ब्लॉक करने के लिए फ़ायरवॉल नियमों को लागू करने की अनुशंसा की जाती है। सिस्टम लॉग की निगरानी असामान्य ICMPv6 ट्रैफ़िक पैटर्न के लिए भी संभावित शोषण प्रयासों का पता लगाने और प्रतिक्रिया देने में मदद कर सकती है। नेटवर्क बुनियादी ढांचे की निरंतर सुरक्षा के लिए Juniper Networks सुरक्षा सलाह की नियमित रूप से समीक्षा और लागू करना महत्वपूर्ण है।
Actualice su dispositivo Juniper SRX Series a una versión de Junos OS que incluya la corrección, como 21.2R3-S10, 21.4R3-S12, 22.2R3-S8, 22.4R3-S9, 23.2R2-S6, 23.4R2-S7, 24.2R2-S3, 24.4R2-S3, 25.2R1-S2 o 25.2R2. Esta actualización mitiga la vulnerabilidad al corregir la validación de paquetes ICMPv6, previniendo el crash del proceso srxpfe.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
फ्लो डेमॉन Junos OS में एक प्रक्रिया है जो विश्लेषण और लेखांकन उद्देश्यों के लिए नेटवर्क ट्रैफ़िक के बारे में जानकारी एकत्र करती है।
NAT64 एक प्रोटोकॉल है जो IPv6 उपकरणों को IPv4 सर्वरों के साथ संवाद करने की अनुमति देता है।
अपने SRX श्रृंखला डिवाइस पर चल रहे Junos OS संस्करण की जांच करें। यदि यह 25.2R1-S2 या 25.2R2 से पहले का है, तो यह कमजोर है।
गलत प्रारूप वाले ICMPv6 ट्रैफ़िक को फ़िल्टर या ब्लॉक करने के लिए फ़ायरवॉल नियम लागू करें और सिस्टम लॉग की निगरानी करें।
CVSS (Common Vulnerability Scoring System) भेद्यता की गंभीरता का मूल्यांकन करने के लिए एक मानक है। 7.5 का स्कोर महत्वपूर्ण जोखिम दर्शाता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।