文章总结： 瞻博网络JSIvLWC存在高危默认凭据漏洞CVE-2026-33784（CVSS9.8），允许未授权攻击者完全控制设备。影响3.0.94之前所有版本，建议立即升级至3.0.94或通过JSIShell修改默认密码作为临时措施。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,网络安全,解决方案

瞻博网络默认凭据漏洞导致未授权完全访问

网安百色

2026年4月11日 18:31 广西

在小说阅读器读本章

去阅读

瞻博网络近日发布了一则严重安全警告，指出其Support Insights（JSI）虚拟轻量级收集器（vLWC）存在一个高危漏洞。

这个被标记为CVE-2026-33784的漏洞源于默认密码设置问题，CVSS v3.1评分高达9.8分，几乎达到最高危险等级。如果不及时修复，远程攻击者无需任何身份验证就能完全掌控受影响的网络设备。

问题出在vLWC软件的初始配置环节。当企业部署新的vLWC软件时，系统会自带一个高权限账户的默认密码。更严重的是，设备在初次使用时并不会强制要求管理员更改这个预设密码。

这就意味着，只要攻击者和设备在同一个网络中，就能用这个众所周知的默认密码轻松突破安全防线。一旦成功登录，攻击者就能获得最高权限，不仅可以随意修改系统设置、窃取数据，还能以此为跳板进一步入侵企业内网的其他设备。

影响范围与应对措施

这个漏洞的危险性在于攻击门槛极低——不需要特殊技术，也不需要用户配合，只要能连上网络就能登录。因此安全团队必须高度重视。

具体来看：

• 受影响版本：所有3.0.94之前的vLWC软件版本
• 严重程度：CVSS v3.1评分9.8，CVSS v4.0评分9.3
• 内部编号：JDEF-1032
• 发现过程：瞻博内部安全测试时发现
• 当前状况：暂未发现野外实际攻击案例

瞻博网络强烈建议管理员尽快将vLWC软件升级到3.0.94或更高版本，这是彻底解决问题的唯一方法。新版本已经改进了初始密码设置流程。

如果暂时无法升级，也有临时解决方案：管理员只需登录设备设置界面，通过JSI Shell手动修改默认密码。只要换成强度足够、独一无二的新密码，就能有效阻止未授权访问，为后续正式修复争取时间。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色 《瞻博网络默认凭据漏洞导致未授权完全访问》