返回
快讯

CISA将Cisco、Chrome和Arista漏洞列入KEV

CISA周二将3个已被积极利用的漏洞加入KEV目录,分别影响Cisco Catalyst SD-WAN Manager、Google Chrome V8和Arista EOS。其中Arista漏洞已在野外被利用但暂无补丁计划,厂商建议通过ACL缓解;FCEB机构需在2026年6月23日前完成修复或缓解。

CVE-2026-20245CVE-2026-11645CVE-2026-7473

美国网络安全和基础设施安全局(CISA)周二在收到有关正在被积极利用的报告后,将3个新漏洞加入其已知被利用漏洞(Known Exploited Vulnerabilities, KEV)目录。

漏洞列表如下:

CVE-2026-20245(CVSS评分:7.8)——Cisco Catalyst SD-WAN Manager 中的输出内容编码或转义不当漏洞,可能允许经过身份验证的本地攻击者通过向受影响系统提供特制文件,以 root 身份执行任意命令。

CVE-2026-11645(CVSS评分:8.8)——Google Chrome V8 中的越界读写漏洞,可能允许远程攻击者通过特制 HTML 页面在 sandbox 内执行任意代码。

CVE-2026-7473(CVSS评分:6.9)——Arista Extensible Operating System(EOS)中的比较不完整且缺少因素漏洞,可能被利用来处理未配置的隧道流量。

已被利用的 Arista EOS 缺陷暂无补丁计划

Arista 表示:“在受影响的平台上运行 Arista EOS,且存在隧道解封装配置——例如 VXLAN(Virtual Extensible LAN)、decap-groups,或 GRE(Generic Routing Encapsulation)隧道接口——时,交换机会错误地对其他未预期的隧道数据包进行解封装并转发,只要其目的 IP 与已配置的解封装 IP 匹配。”

“这是因为交换机未验证隧道协议类型,可能导致对未配置隧道流量的非预期处理。”

该安全缺陷主要影响 7020R、7280R/R2 和 7500R/R2 系列产品。不过,要成功利用该漏洞,设备必须被配置为带有解封装 IP 的隧道端点,例如 VXLAN VTEP、GRE 隧道端点,或配置了 IP decap-group。

这家网络设备公司承认,该漏洞“已被报告在野外遭到利用”,并感谢 Comcast 的 Scott Christiansen、Lukas Peitz、Rich Compton 和 Jonathan Davis 负责任地披露该问题。

尽管如此,Arista 表示不会为 CVE-2026-7473 制定补丁,理由是这样做可能会破坏部署中的现有配置。公司已给出缓解措施来应对该问题。

Arista 表示:“缓解此问题有两种大方向:(1) 在上游设备上应用 ACL,或 (2) 在发生非预期解封装的设备上应用 ACL。无论哪种方式,思路都是选择性地只允许合法的隧道流量,或选择性地阻止恶意隧道流量。”

美国联邦文职行政部门(Federal Civilian Executive Branch, FCEB)机构已被要求在 2026 年 6 月 23 日前应用必要的修复或缓解措施,以应对这 3 个漏洞带来的威胁。