CVE-2026-57030 in Junos OSinformazioni

Riassunto

di VulDB • 10/07/2026

Una vulnerabilità di Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') nel packet forwarding engine (PFE) di Juniper Networks Junos OS su SRX Series consente a un attaccante non autenticato, basato sulla rete, di causare una Denial-of-Service (DoS).

Come parte dell'elaborazione dello stato del traffico sui dispositivi della serie SRX, i flussi vengono stabiliti e rimossi quando non sono più necessari. Durante il processo di rimozione, il timeout di un flusso dovrebbe essere impostato a 3 secondi e conseguentemente il flusso dovrebbe essere rimosso poco dopo. A causa di una race condition che si verifica durante l'impostazione del timeout, esiste la possibilità (le condizioni esatte sono al di fuori del controllo dell'attaccante) che il timeout venga invece impostato su un valore molto elevato superiore a 10.000 secondi:

``` user@host> show security flow session | match timeout Session ID: 98784248524, Policy name: PROD-FLOW/4, HA State: Active, Timeout: 85250, Session State: Valid ```

Ciò porterà a un accumulo di flussi che può essere osservato tramite un valore in costante aumento delle sessioni invalidate nell'output del comando 'show security flow session summary':

``` user@host> show security flow session summary | match invalid Invalidated sessions: 216931 ```

Queste sessioni non possono essere cancellate manualmente con il comando 'clear security flow session', il che porterà o all'arresto dell'instradamento (e il sistema dovrà essere recuperato manualmente tramite un riavvio) oppure a un core dump di flowd e al successivo riavvio automatico.

Questo problema interessa Junos OS su SRX Series:

* versioni 24.2 precedenti alla 24.2R2-S3, * versioni 24.4 precedenti alle 24.4R2-S1, 24.4R2-S2, * versioni 25.2 precedenti alle 25.2R1-S2, 25.2R2.

Questo problema non interessa le release precedenti alla 24.2R1;

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

Juniper

Prenotare

23/06/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!