Arista Networks CloudVision Portal 权限提升 (SA0044)

high Nessus 插件 ID 138218

简介

The version of Arista Networks CloudVision Portal running on the remote device is affected by a privilege escalation vulnerability.

描述

远程设备上运行的 Arista Networks CloudVision Portal 版本受到权限提升漏洞的影响。具有只读权限的用户可利用此漏洞,通过 Configlet Builder 模块中的 CVP API 调用,绕过受限功能的权限。具有只读访问权限的经过身份验证的用户可利用此漏洞,执行原本在 GUI 中受限制的操作。

请注意,Nessus 尚未测试此问题,而是只依靠应用程序自我报告的版本号。为检索版本信息,此插件需要 Web 控制台的 HTTP 凭据。

解决方案

Apply the mitigation or upgrade to a fixed version as referenced in the vendor advisory.

另见

http://www.nessus.org/u?6f4300b8

插件详情

严重性: High

ID: 138218

文件名: arista_cvp_sa0044.nasl

版本: 1.2

类型: remote

系列: Misc.

发布时间: 2020/7/8

最近更新时间: 2020/7/9

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 4.6

时间分数: 3.4

矢量: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2019-18181

CVSS v3

风险因素: High

基本分数: 7.8

时间分数: 6.8

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:arista:cloudvision_portal

必需的 KB 项: installed_sw/Arista CloudVision Portal

易利用性: No known exploits are available

补丁发布日期: 2019/12/4

漏洞发布日期: 2019/12/19

参考资料信息

CVE: CVE-2019-18181