Компания Arista обнаружила ошибку управления доступом, затрагивающую некоторые версии продукта CloudVision Portal.
Уязвимость, CVE-2023-24546влияет на восемь версий CloudVision Portal при локальном запуске.
Как и экземпляры портала, уязвимость наследуется физическим или виртуальным устройством CloudVision.
Уязвимость вызвана неправильным контролем доступа к соединению между CloudVision и устройствами.
«Злоумышленник с сетевым доступом к CloudVision» может получить «более широкий доступ к данным телеметрии и конфигурации в системе», — говорится в бюллетене компании.
Разные конфигурации имеют разные оценки серьезности, но самая высокая имеет CVSS 10,0.
В выпусках 2021.1 и 2021.2 ошибка оценивается 7,6.
В поезде 2021.3 и выпусках 2022.1.0, 2022.1.1, 2022.2.0, 2022.2.1 и 2022.3.0 дополнительная ошибка давала злоумышленнику «доступ для записи к дополнительным частям базы данных CloudVision», повышая серьезность до 9.9.
«Для кластеров, которые были впервые развернуты с выпусками 2022.2.0 или 2022.2.1, оценка CVSS составляет 10,0», — говорится в бюллетене, опять же из-за другой ошибки.
Пользователям необходимо выполнить обновление до версии 2022.1.2, 2022.2.2 или 2022.3.1, так как нет обходного пути и индикаторов компрометации.
Ошибка не влияет на CloudVision как услугу.
Читать полную новость на сайте
