CVE-2024-50603
CVE-2024-50603
En resumen
Un atacante sin autenticación puede ejecutar código arbitrario en Aviatrix Controller enviando comandos de shell a través de parámetros desprotegidos de la API. El sistema no filtra adecuadamente caracteres especiales antes de ejecutar comandos del sistema.
Detalle técnico
Vulnerabilidad de inyección de comandos del SO (CWE-78) en Aviatrix Controller versiones anteriores a 7.1.4191 y 7.2.x anterior a 7.2.4996. Atacantes no autenticados pueden inyectar metacaracteres de shell mediante parámetros del endpoint /v1/api (cloud_type en list_flightpath_destination_instances o src_cloud_type en flightpath_connection_test) para lograr ejecución remota de código con privilegios del controlador.
Resumen generado y traducido por IA a partir de la descripción oficial.
An issue was discovered in Aviatrix Controller before 7.1.4191 and 7.2.x before 7.2.4996. Due to the improper neutralization of special elements used in an OS command, an unauthenticated attacker is able to execute arbitrary code. Shell metacharacters can be sent to /v1/api in cloud_type for list_flightpath_destination_instances, or src_cloud_type for flightpath_connection_test.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados
Aviatrix · ControllerPoCs públicas encontradas — 1
githubgithub.com/th3gokul/CVE-2024-50603★ 17⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://docs.aviatrix.com/documentation/latest/network-security/index.htmlhttps://docs.aviatrix.com/documentation/latest/release-notices/psirt-advisories/psirt-advisories.html?expand=true#remote-code-execution-vulnerability-in-aviatrix-controllershttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-50603https://www.securing.pl/en/cve-2024-50603-aviatrix-network-controller-command-injection-vulnerability/