PT-2020-20430 · Arista · Arista Dcs-7280Sram-48C6-R+2
An0@Deadnull
·
Publicado
2020-02-20
·
Atualizado
2024-08-04
·
CVE-2020-9015
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Arista DCS-7050QX-32S-R versão 4.20.9M
Arista DCS-7050CX3-32S-R versão 4.20.11M
Arista DCS-7280SRAM-48C6-R versão 4.22.0.1F
Descrição
A vulnerabilidade permite que invasores contornem as restrições pretendidas do shell TACACS+ por meio do caractere
|. Trata-se, segundo relatos, de um problema de configuração relacionado a uma expressão regular excessivamente permissiva nos comandos permitidos pelo servidor TACACS+.Recomendações
Para o Arista DCS-7050QX-32S-R versão 4.20.9M, considere revisar a configuração do servidor TACACS+ para restringir os comandos permitidos e evitar o uso de expressões regulares excessivamente permissivas.
Para o Arista DCS-7050CX3-32S-R versão 4.20.11M, considere revisar a configuração do servidor TACACS+ para restringir os comandos permitidos e evitar o uso de expressões regulares excessivamente permissivas.
Para o Arista DCS-7280SRAM-48C6-R versão 4.22.0.1F, considere revisar a configuração do servidor TACACS+ para restringir os comandos permitidos e evitar o uso de expressões regulares excessivamente permissivas.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Arista Dcs-7050Cx3-32S-R
Arista Dcs-7050Qx-32S-R
Arista Dcs-7280Sram-48C6-R