HPE修補Juniper PTX路由器程式碼重大RCE漏洞

HPE旗下網路設備部門Juniper上周發布例外安全更新，以修補PTX路由器一項可允許遠端攻擊者以根權限執行程式碼的重大漏洞。

編號CVE-2026-21902的漏洞為存在Juniper PTX網路設備Junos OS Evolved的機上異常偵測框架的漏洞，出於關鍵資源權限分派不正確，可讓未授權的連網攻擊者，得以用Root權限執行程式碼，其CVSS風險分數為9.8分，屬重大風險（Critical）等級。

Juniper指出，機上異常（On-Box Anomaly）偵測框架只可由內網其他執行個體的流程存取，曝露於外的通訊埠路由則無法存取。然而，CVE-2026-21902漏洞可被未經授權的網路攻擊者遠端濫用，使其得以操控該服務並以Root權限執行程式碼，進而完全掌控該臺裝置。官方也提醒，若未進行特定設定，該服務預設即為啟用狀態。

這項漏洞是Juniper內部產品安全研究過程中發現，Juniper安全事件回應小組SIRT表示未發現任何濫用該漏洞的活動。

本漏洞影響版本為Junos Evolved 25.4版，HPE/Juniper已釋出更新版25.4R1-S1-EVO修補，並預訂釋出25.4R2-EVO及26.2R1-EVO版本。Juniper提醒，該公司並未測試已終止支援的版本，意味用戶最好升級到較新近的軟體版本。針對未能更新的企業用戶，該公司建議應限制防火牆存取權限到信任的網路或主機。