Arista, CloudVision Portal ürününün bazı sürümlerini etkileyen bir erişim denetimi hatası keşfetti.
CVE-2023-24546 güvenlik açığı, şirket içinde çalıştırıldığında CloudVision Portal’ın sekiz sürümünü etkiler.
Portal örneklerinin yanı sıra güvenlik açığı, CloudVision fiziksel aygıtı veya sanal aygıtı tarafından devralınır.
Güvenlik açığı, CloudVision ve cihazlar arasındaki bağlantıdaki hatalı erişim denetimlerinden kaynaklanmaktadır.
Şirket bir danışma belgesinde, “CloudVision’a ağ erişimi olan kötü niyetli bir aktör”, “sistem içindeki telemetri ve yapılandırma verilerine daha geniş erişim” elde edebilir.
Farklı yapılandırmaların farklı önem dereceleri vardır, ancak en yüksek olanın CVSS’si 10,0’dır.
2021.1 ve 2021.2 sürümlerinde hata oranları 7.6.
2021.3 treni ve 2022.1.0, 2022.1.1, 2022.2.0, 2022.2.1 ve 2022.3.0 sürümlerinde başka bir hata, bir saldırgana “CloudVision veritabanının ek bölümlerine yazma erişimi” sağlayarak önem derecesini 9.9.
Danışma belgesi, yine başka bir hata nedeniyle “İlk olarak 2022.2.0 veya 2022.2.1 sürümleriyle dağıtılan kümeler için CVSS puanı 10,0’dır” diyor.
Herhangi bir geçici çözüm olmadığından ve herhangi bir uzlaşma belirtisi olmadığından kullanıcıların 2022.1.2, 2022.2.2 veya 2022.3.1’e yükseltme yapması gerekir.
Hata, hizmet olarak CloudVision’ı etkilemez.