漏洞信息(CVE-2024-50603)

一、漏洞 CVE-2024-50603 基础信息

漏洞信息

                                        # N/A

## 概述
在 Aviatrix Controller 的某些版本中发现了命令注入漏洞。攻击者可以通过发送特制的请求来执行任意代码，而无需身份验证。

## 影响版本
- 7.1.4191 之前的版本
- 7.2.x 系列中 7.2.4996 之前的版本

## 细节
由于对用于 OS 命令的特殊元素处理不当，攻击者可以向 `/v1/api` 的 `cloud_type` 或 `src_cloud_type` 参数中注入 shell 元字符。具体来说，可以利用 `list_flightpath_destination_instances` 或 `flightpath_connection_test` 请求来执行任意代码。

## 影响
该漏洞允许未认证的攻击者在目标系统上执行任意代码，可能导致系统被完全控制。

神龙判断

是否为 Web 类漏洞： 是

判断理由：

是。这个漏洞存在于Aviatrix Controller的Web服务端，由于服务端对OS命令中特殊元素的中和处理不当，导致未经过身份验证的攻击者可以通过向/v1/api发送包含shell元字符的数据来执行任意代码，从而控制受影响的系统。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

An issue was discovered in Aviatrix Controller before 7.1.4191 and 7.2.x before 7.2.4996. Due to the improper neutralization of special elements used in an OS command, an unauthenticated attacker is able to execute arbitrary code. Shell metacharacters can be sent to /v1/api in cloud_type for list_flightpath_destination_instances, or src_cloud_type for flightpath_connection_test.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

OS命令中使用的特殊元素转义处理不恰当(OS命令注入)

来源：美国国家漏洞数据库 NVD

漏洞标题

Aviatrix Controller 操作系统命令注入漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Aviatrix Controller是美国Aviatrix公司的一个应用软件。用云提供商的API来扩展和控制本机结构，从而扩展其功能并将其集成到软件中。 Aviatrix Controller 7.1.4191之前版本和7.2.4996之前的7.2.x版本存在安全漏洞，该漏洞源于操作系统命令中存在特殊元素的不正确中和，导致未认证的攻击者可执行任意代码。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

授权问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-50603 的公开POC

#	POC 描述	源链接	神龙链接
1	CVE-2024-50603-nuclei-poc	https://github.com/newlinesec/CVE-2024-50603	POC详情
2	CVE-2024-50603: Aviatrix Controller Unauthenticated Command Injection	https://github.com/th3gokul/CVE-2024-50603	POC详情
3	An issue was discovered in Aviatrix Controller before 7.1.4191 and 7.2.x before 7.2.4996. Due to the improper neutralization of special elements used in an OS command, an unauthenticated attacker is able to execute arbitrary code. Shell metacharacters can be sent to /v1/api in cloud_type for list_flightpath_destination_instances, or src_cloud_type for flightpath_connection_test.	https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-50603.yaml	POC详情
4	Aviatrix Controller Unauthenticated OS Command Injection	https://github.com/h0w1tzxr/CVE-2024-50603	POC详情

三、漏洞 CVE-2024-50603 的情报信息

标题： CVE-2024-50603: Aviatrix Network Controller Command Injection Vulnerability - Securing -- 🔗来源链接
标签：
标题： Security :: Documentation -- 🔗来源链接
标签：
标题： PSIRT Advisories :: Documentation -- 🔗来源链接
标签：
https://nvd.nist.gov/vuln/detail/CVE-2024-50603

四、漏洞 CVE-2024-50603 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2024-50603 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-50603 的公开POC

三、漏洞 CVE-2024-50603 的情报信息

四、漏洞 CVE-2024-50603 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2024-50603 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-50603 的公开POC

三、漏洞 CVE-2024-50603 的情报信息

四、漏洞 CVE-2024-50603 的评论

发表评论

一、漏洞 CVE-2024-50603 基础信息