关键漏洞信息 漏洞概述 CVE-2020-5483: 通过CLI访问系统shell和执行任意命令。 CVE-2020-5484: 配置文件中包含的密码以明文形式存储。 CVE-2020-5485: 通过API访问受限用户。 CVE-2020-5486: 通过指定协议升级映像验证绕过。 影响软件 Data Monitoring Fabric: DMF R1.7及以下版本,UMF R3.5及以下版本,DMF R4.5及以下所有版本。 Converged Cloud Fabric: CCF 2.3.2及所有后续版本。 Cloud Vision Appliance: 所有版本的CVA 7.0.x。 Multi-Cloud Director: MCD 2.4.2及所有后续版本。 影响平台 CloudVision Appliance (CVA): 运行CloudVision Appliance 7.0.x软件的所有型号。 Device Collector Appliance (DCA): DCA 200 CV。 Device Collector Appliance (DCA): DCA 250 CV。 Device Collector Appliance (DCA): DCA 200 CV。 Arista EOS-based products: 710 Series、7200R Series、7280R Series等。 Arista vEOS-based products: vEOS Edge、vEOS Cloud、vEOS Lab等。 利用所需配置 CVE-2020-5483: 非管理员用户必须能够登录到系统。 CVE-2020-5484: 非管理员用户必须能够登录到系统。 CVE-2020-5485: 用户必须具有REST API访问权限。 CVE-2020-5486: 用户必须具有REST API访问权限。 妥协指标 CVE-2020-5483: 使用 命令的日志记录。 CVE-2020-5484: 明文密码在配置文件中。 CVE-2020-5485: 通过API访问受限用户的日志。 CVE-2020-5486: 下载的映像与已发布的哈希值不匹配。 缓解措施 CVE-2020-5483: 禁止非管理员用户登录直到安装升级版本。 CVE-2020-5484: 删除任何受控用户直到安装升级版本。 CVE-2020-5485: 禁止非管理员用户登录直到安装升级版本。 CVE-2020-5486: 下载的映像必须与已发布的哈希值匹配。 解决方案 升级到推荐的软件版本。