一、 漏洞 CVE-2025-0505 基础信息
漏洞信息
# 在AristaCloudVision系统(虚拟或物理本地部署)中,一键 provisioning 可以用来获得 CloudVision 系统的管理员权限,且权限比必要的要大,这可以用来查询或操纵系统状态
## 漏洞概述
Arista CloudVision系统中,通过Zero Touch Provisioning(ZTP)功能可以获取到高于必要的管理员权限,从而查询或操纵管理设备的状态。
## 影响版本
- 物理或虚拟的本地部署版本(CloudVision as-a-Service 不受影响)
## 漏洞细节
- Zero Touch Provisioning 可以用于获取 CloudVision 系统上的管理员权限,这些权限高于实际所需。
- 获得权限后,攻击者可以查询或操纵受管理设备的状态。
## 影响
- 拥有更高的管理员权限可能导致整个 CloudVision 系统被滥用。
- 受管理设备的状态可能遭到操纵,增加系统风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
On Arista CloudVision systems (virtual or physical on-premise deployments), Zero Touch Provisioning can be used to gain admin privileges on the CloudVision system, with more permissions than necessary, which can be used to query or manipulate system state
来源:美国国家漏洞数据库 NVD
漏洞描述信息
On Arista CloudVision systems (virtual or physical on-premise deployments), Zero Touch Provisioning can be used to gain admin privileges on the CloudVision system, with more permissions than necessary, which can be used to query or manipulate system state for devices under management. Note that CloudVision as-a-Service is not affected.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
特权管理不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Arista Networks CloudVision Portal 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Arista Networks CloudVision Portal是美国Arista Networks公司的一套用于CloudVision平台的、基于Web的用户管理门户。该产品包括网络设备配置、合规性管理、变更管理和网络监控管理等功能。 Arista Networks CloudVision Portal存在安全漏洞,该漏洞源于零接触配置可用于获取超出必要权限的管理员权限,可能导致查询或操纵管理设备的系统状态。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-0505 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
