Junos OS: SRX 系列: 在 NAT64 配置中，接收特定的、格式错误的 ICMPv6 数据包将导致 srxpfe 进程崩溃并重启。

Junos OS 中的 CVE-2026-33790 影响 SRX 系列设备，允许攻击者通过发送格式错误的 ICMPv6 数据包来导致拒绝服务 (DoS) 状态。具体来说，旨在利用流守护程序 (flowd) 中对不寻常或例外条件验证不足的 ICMPv6 数据包可导致 srxpfe 进程崩溃并重新启动。持续接收和处理这些恶意数据包会使 srxpfe 进程陷入崩溃重启循环，从而使 DoS 条件持续存在。此漏洞在 NAT64 转换期间被利用，其中针对设备的格式错误的 ICMPv6 数据包可能触发错误。根据 CVSS 量表，此漏洞的严重程度评分为 7.5，表明使用具有漏洞 Junos OS 版本的 SRX 系列设备的组织面临重大风险。

Organizations heavily reliant on Juniper SRX Series devices for network security and routing, particularly those utilizing IPv6, are at risk. Environments with exposed IPv6 networks or those lacking robust ICMPv6 filtering are especially vulnerable. Those using NAT64 translation should prioritize mitigation.

• linux / server:

journalctl -u srxpfe -f | grep crash

• linux / server:

ps aux | grep srxpfe | grep -v grep

• linux / server:

ss -t icmp6 -n | grep -i malformed

1. 2026-04-09Disclosure

   disclosure

1. 已保留2026-03-23
2. 发布日期2026-04-09
3. 修改日期2026-04-10
4. EPSS 更新日期2026-04-17

Juniper Networks 强烈建议应用提供的软件更新以减轻此漏洞。已修复的版本是 Junos OS 25.2R1-S2 和 25.2R2。升级到这些版本解决了流守护程序中的验证缺陷，从而防止 srxpfe 进程崩溃。如果无法立即更新，建议实施防火墙规则以过滤或阻止格式错误的 ICMPv6 流量。监控系统日志以查找异常的 ICMPv6 流量模式也有助于检测和响应潜在的利用尝试。定期审查并应用 Juniper Networks 安全公告对于持续保护网络基础设施至关重要。