Aviatrix Controller命令注入漏洞CVE-2024-50603

Aviatrix Controller是Aviatrix公司推出的一款应用软件平台，用云提供商API来扩展和控制本机结构,从而扩展其功能并将其集成到软件中。

Aviatrix Controller 作为强大的云网络管理平台和一款集中控制面板，提供简化跨云网络管理、自动化配置、安全策略、流量监控等功能。

一、基本情况

Aviatrix Controller用于编排和管理各种网络和连接解决，帮企业实现更加灵活、安全和高效的云网络架构，特别适用于多云和混合云环境。

栋科技漏洞库关注到Aviatrix Controller中近期披露存在一个命令注入漏洞，该漏洞追踪为CVE-2024-50603，该漏洞的CVSS评分为10.0。

二、漏洞分析

CVE-2024-50603漏洞是Aviatrix Controller受影响版本中存在的高危命令漏洞，该漏洞可能导致未经身份验证的远程攻击者执行任意命令。

该漏洞影响在Aviatrix Controller的7.1.4191之前版本以及7.2.x在7.2.4996之前版本，漏洞源于未正确处理操作系统命令中的特殊元素所致。

参数如下：/v1/api下list_flightpath_destination_instances操作中的 cloud_type 参数或flightpath_connection_test操作中的src_cloud_type。

由于对上述参数缺乏适当的输入清理，从而可能导致命令注入漏洞，未经身份验证远程攻击者可构造恶意请求，利用该漏洞执行任意命令。

目前该漏洞的的技术细节及PoC已公开，由于该漏洞在CVSS 3.1评分系统获得满分评分且影响范围较广，建议受影响用户尽快予以修复。

三、影响范围

Aviatrix Controller < 7.1.4191

Aviatrix Controller 7.2.x < 7.2.4996

四、修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

Aviatrix Controller >= 7.1.4191

Aviatrix Controller 7.2.x >= 7.2.4996

五、参考链接

此处内容已隐藏，评论后刷新即可查看！