CISA 将 Cisco、Chrome 和 Arista 漏洞纳入 KEV 目录，漏洞已遭活跃利用

美国网络安全和基础设施安全局（CISA）周二在收到活跃利用报告后，将三个新漏洞添加到其已知被利用漏洞（KEV）目录中。
漏洞清单如下：

• CVE-2026-20245（CVSS 评分：7.8）—— Cisco Catalyst SD-WAN Manager 中存在输出编码或转义不当漏洞，可能允许经过身份验证的本地攻击者通过向受影响系统提供特制文件，以 root 权限执行任意命令。
• CVE-2026-11645（CVSS 评分：8.8）—— Google Chrome V8 中存在越界读写漏洞，可能允许远程攻击者通过特制的 HTML 页面在沙箱内执行任意代码。
• CVE-2026-7473（CVSS 评分：6.9）—— Arista Extensible Operating System（EOS）中存在不完整比较（缺少因素）漏洞，可能被利用来处理未配置的隧道流量。

已遭利用的 Arista EOS 漏洞无补丁计划
Arista 表示："在受影响的运行 Arista EOS 的平台上，如果存在隧道解封装配置——例如 VXLAN（虚拟可扩展局域网）、decap-groups 或 GRE（通用路由封装）隧道接口——交换机将错误地解封装并转发其他意外的隧道数据包，这些数据包的目的 IP 与其配置的解封装 IP 相匹配。"
"这是因为交换机未验证隧道协议类型，可能导致未配置的隧道流量被意外处理。"
该安全缺陷主要影响 7020R、7280R/R2 和 7500R/R2 系列产品。然而，要成功利用该漏洞，设备必须配置为具有解封装 IP 的隧道端点，例如 VXLAN VTEP、GRE 隧道端点或配置了 IP decap-group。
这家网络设备公司承认该漏洞"被报告已在野外遭到利用"，并感谢 Comcast 的 Scott Christiansen、Lukas Peitz、Rich Compton 和 Jonathan Davis 负责任地披露了该漏洞。
尽管如此，Arista 表示目前没有计划发布补丁来修复 CVE-2026-7473，理由是这样做可能会破坏现有部署中的配置。该公司已概述了解决该问题的缓解措施。
Arista 表示："缓解此问题有两种主要方法——（1）在上游设备上应用 ACL，或（2）在发生意外解封装的设备上应用 ACL。两种方法的思路都是要么选择性仅允许合法的隧道流量，要么选择性阻止恶意的隧道流量。"
联邦民事行政部门（FCEB）机构已被要求在 2026 年 6 月 23 日之前应用必要的修复或缓解措施，以应对这三个漏洞带来的威胁。