支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-21907 基础信息
漏洞信息
                                        # Junos Space TLS静态密钥密码漏洞

## 概述
Juniper Networks Junos Space的TLS/SSL服务器存在使用不安全或风险加密算法的漏洞,允许使用静态密钥密码套件(ssl-static-key-ciphers),降低传输中通信的机密性。

## 影响版本
所有早于24.1R5版本的Junos Space。

## 细节
该漏洞允许TLS/SSL服务器使用静态密钥加密算法,此类算法不具备前向安全性(Perfect Forward Secrecy, PFS),导致通信密钥长期不变,一旦密钥泄露,可解密过往通信内容。

## 影响
攻击者若处于网络路径中(on-path),可利用该漏洞降低加密通信的安全性,威胁通信的机密性,尤其影响长期数据保密能力。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Junos Space: TLS/SSL server supports use of static key ciphers (ssl-static-key-ciphers)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A Use of a Broken or Risky Cryptographic Algorithm vulnerability in the TLS/SSL server of Juniper Networks Junos Space allows the use of static key ciphers (ssl-static-key-ciphers), reducing the confidentiality of on-path traffic communicated across the connection. These ciphers also do not support Perfect Forward Secrecy (PFS), affecting the long-term confidentiality of encrypted communications.This issue affects all versions of Junos Space before 24.1R5.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
使用已被攻破或存在风险的密码学算法
来源:美国国家漏洞数据库 NVD
漏洞标题
Juniper Networks Junos Space 加密问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Juniper Networks Junos Space是美国瞻博网络(Juniper Networks)公司的一套网络管理解决方案。该方案支持在设备和服务的整个生命周期内对其进行自动配置、监控和故障排除。 Juniper Networks Junos Space 24.1R5之前版本存在加密问题漏洞,该漏洞源于使用有缺陷的加密算法,可能降低通信的机密性。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
加密问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2026-21907 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-21907 的情报信息

  • 标题: 2026-01 Security Bulletin: Junos Space: TLS/SSL server supports use of static key ciphers (ssl-static-key-ciphers) (CVE-2026-21907) -- 🔗来源链接

    标签:vendor-advisory

    神龙速读:
                                            ### 关键漏洞信息

#### 漏洞描述
- **漏洞编号**: CVE-2026-21907
- **厂商**: Juniper Networks
- **产品**: Junos Space
- **影响版本**: 所有版本
- **风险等级**: 中等
- **CVSS评分**:
  - CVSS v3.1: 5.9
  - CVSS v4.0: 8.2

#### 问题概述
该漏洞存在于Juniper Networks Junos Space的TLS/SSL服务器中,允许使用静态密钥加密(ssl-static-key-ciphers),从而降低了连接中传输的流量的机密性。这些加密方式也不支持前向保密(PFS),影响加密通信的长期机密性。

#### 解决方案
- **修复版本**: Junos Space 24.1R5及后续版本
- **跟踪编号**: 1892735

#### 绕行方案
- 确保连接到设备的任何客户端不允许协商静态RSA密钥交换。

#### 相关信息
- [KB16613: Juniper Networks SIRT季度安全公告发布流程概述](#)
- [KB16765: 哪些版本修复了漏洞?](#)
- [KB16446: CVSS和Juniper的安全建议](#)
    2026-01 Security Bulletin: Junos Space: TLS/SSL server supports use of static key ciphers (ssl-static-key-ciphers) (CVE-2026-21907)

  • 标题: 2026-01 Security Bulletin: Junos Space: TLS/SSL server supports use of static key ciphers (ssl-static-key-ciphers) (CVE-2026-21907) -- 🔗来源链接

    标签:vendor-advisory

    神龙速读:
                                            根据提供的网页截图,可以获取到以下关于漏洞的关键信息:

- **漏洞编号**:CVE-2026-21907
- **产品影响**:该问题影响到所有版本的Junos Space。
- **严重性评估**:
    - CVSS v3.1 分数:5.9
    - CVSS v4.0 分数:8.2
- **问题描述**:Junos Space的TLS/SSL服务器在静态密钥加密配置下存在加密算法漏洞,这可能导致通信过程中数据的机密性受到影响。同时,这些加密方法也不支持“完全向前保密”(Perfect Forward Secrecy,PFS),影响了加密通信的长期机密性。
- **解决方案**:从Junos Space 24.1R5版本以及之后的所有版本已经更新解决此问题。
- **变通方案**:确保连接到设备的客户端禁止静态RSA密钥交换的协商。
- **修改历史**:2026年1月14日首次发布。
    2026-01 Security Bulletin: Junos Space: TLS/SSL server supports use of static key ciphers (ssl-static-key-ciphers) (CVE-2026-21907)
  • https://nvd.nist.gov/vuln/detail/CVE-2026-21907
四、漏洞 CVE-2026-21907 的评论

暂无评论

发表评论