CVE-2025-6978
Mis à jour :
Vulnérabilité d’injection de commandes dans les pare-feux Arista NG
Une faille de sécurité, identifiée sous la référence CVE-2025-6978, a été découverte dans les pare-feux Arista NG. Cette vulnérabilité d’injection de commandes provient d’une validation insuffisante des données fournies par l’utilisateur dans le module de diagnostic. Un attaquant distant ayant déjà accès au système peut exploiter cette faille en envoyant des requêtes malveillantes. En cas de succès, l’attaquant serait en mesure d’exécuter des commandes arbitraires avec les privilèges de l’utilisateur root. La vulnérabilité est classifiée sous CWE-78, relevant des “injections de commandes système d’exploitation”.
Points Clés :
- Type de vulnérabilité : Injection de commandes (OS Command Injection).
- Produit affecté : Pare-feux Arista NG.
- Composant affecté : Module de diagnostic.
- Impact : Exécution de commandes arbitraires avec les privilèges root.
- Type d’attaquant : Attaquant distant authentifié.
Vulnérabilité :
- CVE : CVE-2025-6978
- CWE : CWE-78 (Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’))
Recommandations :
Bien que l’article ne détaille pas explicitement les recommandations, une application immédiate des correctifs par Arista ou des mises à jour de sécurité fournies par le fabricant est implicitement nécessaire pour atténuer cette vulnérabilité. Il est également conseillé de limiter l’accès aux modules de diagnostic des pare-feux aux utilisateurs autorisés.