Arista「CloudVision」に管理者権限を取得される脆弱性
Arista Networksが提供するネットワーク管理ツール「CloudVision Portal(CVP)」に深刻な脆弱性が明らかとなった。アップデートが提供されている。
同ソフトウェアのゼロタッチプロビジョニング(ZTP)機能に、「CloudVisionシステム」の管理者権限を取得できる脆弱性「CVE-2025-0505」が確認されたもの。同社内で発見したという。
脆弱性を悪用することで管理対象デバイスを操作したり、状態を読み取ることが可能。ZTP機能は初期状態で有効となっており、物理環境、仮想環境のいずれも影響を受ける。ただし、同社が提供するクラウド版は対象外。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは、最高値の「10.0」と評価されており、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
同社は「CVP 2024.3.1」「同2024.2.2」にて脆弱性を解消しており、以降のバージョンへ更新するよう呼びかけた。また緩和策として、ZTP機能の無効化がアナウンスされている。
あわせてZTP機能の管理画面に、所有していないデバイスのシリアル番号や同機能を使用していない機器のシリアル番号が表示される場合、侵害されている可能性があるとし、注意するよう求めた。
(Security NEXT - 2025/05/12 )
ツイート
PR
関連記事
「Trend Micro Apex Central」にクリティカル脆弱性 - アップデートを公開
「Apache Uniffle」に脆弱性 - 中間者攻撃のおそれ
「n8n」に今月2件目の「クリティカル」脆弱性 - 旧版に影響
IoTゲートウェイ「OpenBlocks」に脆弱性 - 修正版が公開
組込用SSHライブラリ「wolfSSH」に認証回避など深刻な脆弱性
「GitLab」にセキュリティアップデート - 脆弱性7件を解消
米政府、「HPE OneView」「PowerPoint」の脆弱性悪用に注意喚起
データ圧縮ライブラリ「zlib」に含まれる「untgz」に深刻な脆弱性
「n8n」に深刻なRCE脆弱性 - 2025年11月の更新で修正済み
国内で「MongoBleed」悪用被害は未確認 - 攻撃増加に要警戒
