漏洞标题
在AristaCloudVision系统(虚拟或物理本地部署)中,一键 provisioning 可以用来获得 CloudVision 系统的管理员权限,且权限比必要的要大,这可以用来查询或操纵系统状态
漏洞描述信息
## 漏洞概述
Arista CloudVision系统中,通过Zero Touch Provisioning(ZTP)功能可以获取到高于必要的管理员权限,从而查询或操纵管理设备的状态。
## 影响版本
- 物理或虚拟的本地部署版本(CloudVision as-a-Service 不受影响)
## 漏洞细节
- Zero Touch Provisioning 可以用于获取 CloudVision 系统上的管理员权限,这些权限高于实际所需。
- 获得权限后,攻击者可以查询或操纵受管理设备的状态。
## 影响
- 拥有更高的管理员权限可能导致整个 CloudVision 系统被滥用。
- 受管理设备的状态可能遭到操纵,增加系统风险。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
特权管理不恰当
漏洞标题
On Arista CloudVision systems (virtual or physical on-premise deployments), Zero Touch Provisioning can be used to gain admin privileges on the CloudVision system, with more permissions than necessary, which can be used to query or manipulate system state
漏洞描述信息
On Arista CloudVision systems (virtual or physical on-premise deployments), Zero Touch Provisioning can be used to gain admin privileges on the CloudVision system, with more permissions than necessary, which can be used to query or manipulate system state for devices under management. Note that CloudVision as-a-Service is not affected.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
漏洞类别
特权管理不恰当