漏洞标题
在Arista CloudVision Portal(CVP本地版本)受影响的版本中,具有时效限制的设备注册令牌可用于获得CloudVision的管理员权限。
漏洞描述信息
## 漏洞概述
在受影响版本的Arista CloudVision Portal (CVP on-prem)中,时间绑定的设备注册令牌可以被用来获取CloudVision的管理员权限。
## 影响版本
未提供具体版本信息。
## 漏洞细节
时间绑定的设备注册令牌(用于设备上线)存在安全漏洞。攻击者如果获取了该令牌,可以利用其来获得CloudVision系统的管理员权限。
## 影响
此漏洞允许未授权的攻击者通过利用时间绑定的设备注册令牌,获取CloudVision系统的管理权限,从而对系统进行未授权的管理和操作。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
不充分的会话过期机制
漏洞标题
On affected versions of the Arista CloudVision Portal (CVP on-prem), the time-bound device onboarding token can be used to gain admin privileges on CloudVision.
漏洞描述信息
On affected versions of the Arista CloudVision Portal (CVP on-prem), the time-bound device onboarding token can be used to gain admin privileges on CloudVision.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N
漏洞类别
特权管理不恰当