[TLP:CLEAR] Arista opravuje 6 zraniteľností
Arista opravuje 6 zraniteľností v produktoch Arista EOS a Streaming Telemetry Agent (TerminAttr). Najzávažnejšie z nich sú popísané nižšie, ostatné nájdete na [1]. Jednotlivé produkty a ich opravené verzie: Streaming Telemetry Agent (TerminAttr) - 1.31.16, 1.34.13, 1.37.11, 1.40.10, 1.43.6, 1.44.1, 1.45.0 [1] Arista EOS - 4.33.9M, 4.34.8M, 4.35.6M, 4.36.1F [1] Opravné verzie EOS 4.33.9M, 4.34.8M a 4.35.6M neboli v čase vydania advisory ešte dostupné. Do ich vydania je odporúčanou opravou upgrade agenta TerminAttr [1].
Autentizovanému vzdialenému útočníkovi je prostredníctvom špeciálne vytvorenej sady paketov umožnené upraviť systémové dáta zariadenia, ak je agent Streaming Telemetry prevádzkovaný v neštandardnej konfigurácii s povoleným zápisom dát [1].
Zraniteľnosť sa nachádza v produktoch:
- TerminAttr vo verziách (>=1.31.0 AND <1.31.16) OR (>=1.34.0 AND <1.34.13) OR (>=1.37.0 AND <1.37.11) OR (>=1.40.0 AND <1.40.10) OR (>=1.43.0 AND <1.43.6) OR (>=1.44.0 AND <1.44.1)
- Arista EOS vo verziách (>=4.31.0 AND <=4.31.10M) OR (>=4.32.0 AND <=4.32.11M) OR (>=4.33.0 AND <4.33.9M) OR (>=4.34.0 AND <4.34.8M) OR (>=4.35.0 AND <4.35.6M) OR (>=4.36.0F AND <4.36.1F)
CVSS: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Viac informácií:
- CVE-2026-11705 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-250: Execution with Unnecessary Privileges at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 23. 6. 2026.
Neautentizovanému vzdialenému útočníkovi je v dôsledku nesprávnej validácie certifikátu agentom Streaming Telemetry umožnené narušiť dôvernosť komunikácie, ak je agent nakonfigurovaný s gRPC tunelom [1].
Zraniteľnosť sa nachádza v produktoch:
- TerminAttr vo verziách (>=1.31.0 AND <1.31.16) OR (>=1.34.0 AND <1.34.13) OR (>=1.37.0 AND <1.37.11) OR (>=1.40.0 AND <1.40.10) OR (>=1.43.0 AND <1.43.6) OR (>=1.44.0 AND <1.44.1)
- Arista EOS vo verziách (>=4.31.0 AND <=4.31.10M) OR (>=4.32.0 AND <=4.32.11M) OR (>=4.33.0 AND <4.33.9M) OR (>=4.34.0 AND <4.34.8M) OR (>=4.35.0 AND <4.35.6M) OR (>=4.36.0F AND <4.36.1F)
CVSS: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Viac informácií:
- CVE-2026-52896 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-295: Improper Certificate Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 23. 6. 2026.
Autentizovanému lokálnemu útočníkovi je umožnené eskalovať svoje oprávnenia, ak je agent Streaming Telemetry nakonfigurovaný na streamovanie do CloudVision [1].
Zraniteľnosť sa nachádza v produktoch:
- TerminAttr vo verziách (>=1.31.0 AND <1.31.16) OR (>=1.34.0 AND <1.34.13) OR (>=1.37.0 AND <1.37.11) OR (>=1.40.0 AND <1.40.10) OR (>=1.43.0 AND <1.43.6) OR (>=1.44.0 AND <1.44.1)
- Arista EOS vo verziách (>=4.31.0 AND <=4.31.10M) OR (>=4.32.0 AND <=4.32.11M) OR (>=4.33.0 AND <4.33.9M) OR (>=4.34.0 AND <4.34.8M) OR (>=4.35.0 AND <4.35.6M) OR (>=4.36.0F AND <4.36.1F)
CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:H/SI:H/SA:H
Viac informácií:
- CVE-2026-52897 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-269: Improper Privilege Management at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 23. 6. 2026.
Odkazy
Za CESNET-CERTS Henrieta Paločková dňa 24. 6. 2026.
