CVE-2025-6978: Выполнение произвольного кода в Arista NG Firewall

Уязвимость внедрения команд в Arista NG Firewall, о которой сообщила TrendAI Research, позволяет выполнять произвольные команды. Эта уязвимость, отслеживаемая как CVE-2025-6798, возникает из-за неадекватной проверки в компоненте диагностики. Злоумышленники могут использовать это через специально созданные запросы к интерфейсу JSON-RPC, в частности, метод runTroubleshooting. Предоставленные пользователем данные в таких параметрах, как "HOST" или "URL", не полностью очищаются, что позволяет внедрять вредоносные команды. Обратный апостроф является примером небезопасного символа, который можно использовать для внедрения команд. Успешная эксплуатация предоставляет злоумышленникам права root в скомпрометированной системе. Обнаружение включает мониторинг трафика HTTP/HTTPS на предмет вредоносных JSON-RPC запросов. Предоставленное руководство по обнаружению содержит подробные проверки в телах запросов с использованием регулярных выражений. Уязвимость заключается в обработке пользовательского ввода командой runTroubleshooting в классе NetworkManagerImpl. Arista устранила проблему в версии 17.4 или выше. В отчете подчеркивается важность применения патча безопасности от поставщика. Этот тщательный анализ был проведен Джонатаном Лейном и Симоном Гумбертом из команды TrendAI Research.