瞻博网络（Juniper Networks）已修复一个被追踪为 CVE – 2025 – 21589 的严重漏洞，该漏洞影响其Session Smart Router。

瞻博网络修复了一个严重的身份验证绕过漏洞，编号为 CVE – 2025 – 21589（通用漏洞评分系统（CVSS）评分为 9.8），该漏洞影响其Session Smart Router产品。

安全公告中写道：“瞻博网络Session Smart Router中存在一个‘通过备用路径或通道进行身份验证绕过’的漏洞，这可能使基于网络的攻击者绕过身份验证并取得设备的管理控制权。”

受该漏洞影响的产品包括：

Session Smart Router（Session Smart Router）：

（1）5.6.7 版本至 5.6.17 版本之前

（2）6.0.8 版本及后续

（3）6.1 版本至 6.1.12 – lts 版本之前

（4）6.2 版本至 6.2.8 – lts 版本之前

（5）6.3 版本至 6.3.3 – r2 版本之前

会话智能管理程序（Session Smart Conductor）：

（1）5.6.7 版本至 5.6.17 版本之前

（2）6.0.8 版本及后续

（3）6.1 版本至 6.1.12 – lts 版本之前

（4）6.2 版本至 6.2.8 – lts 版本之前

（5）6.3 版本至 6.3.3 – r2 版本之前

广域网保障托管路由器（WAN Assurance Managed Routers）：

（1）5.6.7 版本至 5.6.17 版本之前

（2）6.0.8 版本及后续

（3）6.1 版本至 6.1.12 – lts 版本之前

（4）6.2 版本至 6.2.8 – lts 版本之前

（5）6.3 版本至 6.3.3 – r2 版本之前

瞻博网络通过发布 SSR – 5.6.17、SSR – 6.1.12 – lts、SSR – 6.2.8 – lts、SSR – 6.3.3 – r2 及后续版本修复了该漏洞。

使用带 Mist Cloud 的广域网保障（WAN Assurance with Mist Cloud）的设备已自动接收补丁，但仍建议升级到修复版本。

该公司表示，针对此漏洞没有已知的解决方法。公司的安全事件响应团队（SIRT）尚未发现有利用此漏洞在实际环境中进行的攻击。

2024 年 7 月，瞻博网络发布了非计划内的安全更新，以修复一个被追踪为 CVE – 2024 – 2973（CVSS 评分为 10.0）的严重漏洞，该漏洞可能导致其部分路由器出现身份验证绕过问题。该公司在内部产品安全测试或研究期间发现了此漏洞。

瞻博网络Session Smart Router或具有冗余对等体的管理程序中的该漏洞，使基于网络的攻击者能够绕过身份验证并完全控制设备。此漏洞仅影响在高可用性冗余配置下运行的路由器或管理程序。