CVE-2025-34026 - Versa Concerto 認證繞過漏洞

基本資訊

• CVE 編號: CVE-2025-34026
• 廠商: Versa
• 產品: Concerto SD-WAN orchestration platform
• 漏洞類型: Improper Authentication (CWE-288)
• CISA 加入日期: 2026-01-22
• 修補期限: 2026-02-12
• 已知勒索軟體利用: Unknown

漏洞描述

Versa Concerto SD-WAN 協調平台在 Traefik 反向代理配置中存在認證不當漏洞，允許攻擊者存取管理端點。攻擊者可利用內部 Actuator 端點取得 heap dumps 和 trace logs。

技術細節

• 攻擊向量: Traefik reverse proxy configuration 配置錯誤
• 影響範圍: 管理介面認證繞過
• 可存取資源:
  • Administrative endpoints
  • Internal Actuator endpoint
  • Heap dumps
  • Trace logs

修補建議

依照廠商指示套用緩解措施，遵循適用的 BOD 22-01 雲端服務指引，或在無法取得緩解措施時停用該產品。

參考資料

• Versa Networks Security Portal
• NVD - CVE-2025-34026

威脅情報評估

• 利用狀態: 已被積極利用（CISA KEV 列表）
• 嚴重程度: 高（管理介面認證繞過 + 敏感資料洩漏）
• 建議優先級: 緊急（修補期限：2026-02-12）
• 信心水準: 高

時間軸

• 2026-01-22: CISA 將此漏洞加入 KEV 目錄
• 2026-02-12: 聯邦機構修補期限

---

本情報萃取自 CISA Known Exploited Vulnerabilities Catalog