Aviatrix Controller 未授权命令注入漏洞复现(CVE-2024-50603)
0x01 产品简介
Aviatrix Controller是一款强大的云网络管理平台,提供简化的跨云网络管理、自动化配置、安全策略、流量监控等功能,帮助企业实现更加灵活、安全和高效的云网络架构,特别适用于多云和混合云环境。主要用于编排和管理各种网络和连接解决方案。它为用户提供了一个直观、易用的界面,通过该界面可以轻松地配置、监控和管理复杂的网络环境。适用于各种复杂的网络环境。通过其提供的自动化、编排和安全功能,用户可以轻松地管理他们的网络环境,并快速响应各种网络需求。
0x02 漏洞概述
Aviatrix Controller受影响版本中,由于对/v1/api 下 list_flightpath_destination_instances 操作中的 cloud_type 参数或 flightpath_connection_test 操作中的 src_cloud_type 参数缺乏适当的输入清理,可能导致命令注入漏洞,未经身份验证的远程攻击者可以构造恶意请求,利用该漏洞执行任意命令。
0x03 影响范围
Aviatrix Controller < 7.1.4191
Aviatrix Controller 7.2.x < 7.2.4996
0x04 复现环境
FOFA:app="aVIaTrIX-Controller"