注目cisa_kev1分
CVE-2026-7473 Arista EOS トンネル検証欠如の脆弱性・野生悪用確認
30秒で把握
- 1CVE-2026-7473:Arista EOS がトンネルプロトコル未検証で不正パケット転送
- 2VXLAN / GRE 設定環境が対象・CVSS 3.1 スコープ変更あり・野生悪用確認済み
- 3CISA KEV 登録・対応期限 2026/6/23・緩和策適用または利用停止が必須
要約
Arista EOS に VXLAN・デカップグループ・GRE トンネル設定が存在する環境で、スイッチがトンネルプロトコル種別を検証せずに意図しないパケットをデカプセル・転送する脆弱性(CVE-2026-7473)が確認された。宛先 IP がデカプセル設定 IP と一致する非設定トンネルトラフィックが予期せず処理され、整合性への影響(CVSS 3.1 スコープ変更あり)が生じる。CISA の KEV カタログに登録済みで、野生での悪用が報告されている。
あなたへの影響
Arista EOS を使用しているチームは、VXLAN・GRE 等のトンネル設定の有無を即確認し、Arista 提供の緩和策を 6 月 23 日までに適用すること。
推奨:野生悪用が確認されているため、パッチ適用を次スプリントに先送りせず今週中に対処を開始すべき。