PT-2021-17872 · Arista · Arista Eos+1
Publicado
2021-10-19
·
Atualizado
2022-07-30
·
CVE-2021-28496
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Arista EOS e CloudEOS, versões 4.22.x a 4.26.1
Descrição:
A senha configurada para uso pelo BiDirectional Forwarding Detection (BFD) será divulgada ao exibir resultados via eAPI ou outras saídas JSON para outros usuários autenticados no dispositivo. Esse problema ocorre ao usar perfis de segredo compartilhado.
Recomendações:
Para as versões 4.22.x a 4.23.9, considere desativar o uso de perfis de segredo compartilhado até que uma correção esteja disponível.
Para as versões 4.24.0 a 4.24.7, restrinja o acesso à eAPI e a outras saídas JSON para minimizar o risco de exploração.
Para as versões 4.25.0 a 4.25.4, evite usar a variável
password nas saídas JSON afetadas até que o problema seja resolvido.Para as versões 4.26.0 a 4.26.1, considere desativar temporariamente o recurso BFD para evitar o vazamento de senhas.
Correção
Missing Encryption of Sensitive Data
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Arista Eos
Cloudeos