CVE-2024-50603

Опубликовано: 08 янв. 2025

Источник: nvd

CVSS3: 10

CVSS3: 9.8

EPSS Критический

Описание

An issue was discovered in Aviatrix Controller before 7.1.4191 and 7.2.x before 7.2.4996. Due to the improper neutralization of special elements used in an OS command, an unauthenticated attacker is able to execute arbitrary code. Shell metacharacters can be sent to /v1/api in cloud_type for list_flightpath_destination_instances, or src_cloud_type for flightpath_connection_test.

Ссылки

https://docs.aviatrix.com/documentation/latest/network-security/index.html
Product
https://docs.aviatrix.com/documentation/latest/release-notices/psirt-advisories/psirt-advisories.html?expand=true#remote-code-execution-vulnerability-in-aviatrix-controllers
Vendor Advisory
https://www.securing.pl/en/cve-2024-50603-aviatrix-network-controller-command-injection-vulnerability/
Exploit
Third Party Advisory
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-50603
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:aviatrix:controller:*:*:*:*:*:*:*:*

Версия до 7.1.4191 (исключая)

cpe:2.3:a:aviatrix:controller:*:*:*:*:*:*:*:*

Версия от 7.2 (включая) до 7.2.4996 (исключая)

EPSS

Процентиль: 100%

0.94352

Критический

10 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-78

Связанные уязвимости

GHSA-2vqc-674h-xh9w

CVSS3: 10

github

около 1 года назад

BDU:2025-00546

CVSS3: 10

fstec

больше 1 года назад

Уязвимость программного средства управления облачной инфраструктурой Aviatrix Controller, связанная с непринятием мер по нейтрализации специальных элементов, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 100%

0.94352

Критический

10 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-78