Arista「CloudVision」に管理者権限を取得される脆弱性
Arista Networksが提供するネットワーク管理ツール「CloudVision Portal(CVP)」に深刻な脆弱性が明らかとなった。アップデートが提供されている。
同ソフトウェアのゼロタッチプロビジョニング(ZTP)機能に、「CloudVisionシステム」の管理者権限を取得できる脆弱性「CVE-2025-0505」が確認されたもの。同社内で発見したという。
脆弱性を悪用することで管理対象デバイスを操作したり、状態を読み取ることが可能。ZTP機能は初期状態で有効となっており、物理環境、仮想環境のいずれも影響を受ける。ただし、同社が提供するクラウド版は対象外。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは、最高値の「10.0」と評価されており、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
同社は「CVP 2024.3.1」「同2024.2.2」にて脆弱性を解消しており、以降のバージョンへ更新するよう呼びかけた。また緩和策として、ZTP機能の無効化がアナウンスされている。
あわせてZTP機能の管理画面に、所有していないデバイスのシリアル番号や同機能を使用していない機器のシリアル番号が表示される場合、侵害されている可能性があるとし、注意するよう求めた。
(Security NEXT - 2025/05/12 )
ツイート
PR
関連記事
「Parse Server」に認証回避の脆弱性 - 別アプリのトークンでログイン可能に
「i-フィルター」など複数製品に脆弱性 - 修正版をリリース
米当局、「Ivanti EPM」など3製品の脆弱性悪用に注意喚起
「MS Edge」にアップデート - 「クリティカル」脆弱性を複数修正
米当局、悪用カタログに既知脆弱性5件を登録 - AppleやRockwellなど
「iPhone」狙う強力な攻撃キット「Coruna」 - 多数脆弱性を悪用、CVE未採番も
JetBrainsの複数製品に脆弱性 - 「Hub」ではクリティカルも
「VMware Aria Operations」の脆弱性など悪用に注意喚起 - 米当局
「EC-CUBE」に多要素認証を回避される脆弱性 - 修正パッチを公開
自然言語処理ライブラリ「NLTK」に深刻なRCE脆弱性
