关键信息 漏洞概述 CVE ID: CVE-2025-6188 CVSS v3.1 基本评分: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N) 通用弱点枚举: CWE-288 认证绕过:使用替代路径或通道 跟踪编号: BUG 1008673 描述 在受影响的平台上运行 Arista EOS 时,恶意形成的 UDP 数据包(源端口为 3503)可能被 EOS 接受。UDP 端口 3503 与 Isping Echo Reply 相关联。这可能导致意外行为,特别是对于不执行某种形式身份验证的基于 UDP 的服务。 影响的软件 EOS 版本: - 4.33.1F 及以下版本(4.33.X 列) - 4.33.1.2F 及以下版本(4.33.1.X 列) - 4.32.4.1M 及以下版本(4.32.X 列) - 4.31.9M 及以下版本(4.31.X 列) - 4.30.1.1M 及以下版本(4.30.X 列) 影响的平台 Arista EOS 基于产品: - 710 系列 - 720D 系列 - 720XP/722XP 系列 - 750X 系列 - 7010 系列 - 7010A 系列 - 7020P 系列 - 7130 系列运行 EOS - 7150 系列 - 7190 系列 - 7190z 系列 - 7050X/72Z/X5/X6 系列 - 7000X/72X/74X/76X/79X 系列 - 7250X 系列 - 7200X/X5 系列 - 7250R/R6/R7/R3 系列 - 7300X 系列 - 7302X 系列 - 7358X 系列 - 7308X4 系列 - 7358X5 系列 - 7000S/7304X 系列 - 7000R/7304X 系列 - AFW 8000 系列 - AWT 7200N 系列 - CloudEOS - cEOS-lab - vEOS-lab 必需配置以利用漏洞 EOS 设备默认易受 CVE-2025-6188 影响,无需特定配置。 妥协指标 没有可靠的手段可以可靠地识别是否已发生妥协。 缓解措施 对于 EOS 版本 4.28.1 及以上,如果未在 EOS 设备上使用 MPLS,则可以应用自定义控制平面 ACL 来删除允许源端口 3503 流量的规则。 对于 EOS 版本 4.22.0 及以上,可以应用“mpls ping”服务 ACL 来限制源/目的端口 3503 的流量。 解决方案 建议升级到最新版本的软件,其中包含每个发布中列出的所有修复程序。