关键信息 漏洞概述 CVE ID: CVE-2025-2826 CVSSv3.1 Base Score: 2.9 (CVSS:3.1/AV:A/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N) Current Weakness Enumeration: CWE-284 Improper Access Control 跟踪编号: BUG 75539B 描述 在受影响的平台上运行Arista EOS时,ACL策略可能无法执行。IPv4 ingress ACL、MAC ingress ACL或IPv6标准ingress ACL在单个或多个LAG接口上启用可能导致ACL策略未对ingress数据包强制执行。这可能导致以下问题: 1. 应该被允许的数据包可能被丢弃。 2. 应该被丢弃的数据包可能被允许。 此问题是在内部发现的,Arista不知道任何客户网络中对此问题的恶意使用。 影响的软件 EOS版本: 4.33.2.x版本在4.33.x主线中 影响的平台 Arista EOS-based产品: 70XX系列 配置要求以利用漏洞 为了易受CVE-2025-2826的影响,必须满足以下条件:IPv4 ingress ACL、MAC ingress ACL或IPv6标准ingress ACL必须配置并激活在一个以上的以太网接口或一个以上的LAG接口上。 妥协指标 此漏洞可能导致意外的ACL行为。示例包括: ACL丢弃了应该允许的入站流量。 没有ACL丢弃应该拒绝的入站流量,并且流量意外地到达设备。 缓解措施 没有可用的变通方法。如果资源允许并且策略适用,可以将ingress ACL应用为egress。 解决方案 推荐的解决方案是升级到修复了该漏洞的补丁软件版本。Arista建议客户尽快升级到每个发布版本的最新版本,其中包含以下所有列出的文件。 热修复 没有热修复可用。请升级到具有该错误修复的版本,或者降级到较早的支持的EOS版本。