CVE-2026-33784
JSI Virtual Lightweight Collector: Default password is not required to be changed which allows unauthorized high-privileged access
Em resumo
O coletor leve virtual JSI da Juniper vem com uma senha padrão para uma conta com privilégios altos, e não é obrigatório alterá-la durante a configuração inicial, permitindo que qualquer pessoa na rede assuma o controle total do dispositivo.
Detalhe técnico
Uma vulnerabilidade de Uso de Senha Padrão (CWE-1393) no JSI vLWC permite que atacantes não autenticados, baseados na rede, obtenham acesso administrativo completo explorando uma credencial padrão inalterada para uma conta com privilégios elevados durante o provisionamento inicial. A falha afeta todas as versões do vLWC anteriores à 3.0.94 e não requer autenticação ou interação do usuário, representando um vetor crítico de comprometimento remoto.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A Use of Default Password vulnerability in the Juniper Networks
Support Insights (JSI)
Virtual Lightweight Collector (vLWC) allows an unauthenticated, network-based attacker to take full control of the device.
vLWC software images ship with an initial password for a high privileged account. A change of this password is not enforced during the provisioning of the software, which can make full access to the system by unauthorized actors possible.This issue affects all versions of vLWC before 3.0.94.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:L/AU:Y/R:U/RE:L
Produtos afetados
Juniper Networks · JSI LWCQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://kb.juniper.net/JSA107871