Aviatrix Controller 未授权命令注入漏洞复现(CVE-2024-50603)

0x01 产品简介

Aviatrix Controller是一款强大的云网络管理平台，提供简化的跨云网络管理、自动化配置、安全策略、流量监控等功能，帮助企业实现更加灵活、安全和高效的云网络架构，特别适用于多云和混合云环境。主要用于编排和管理各种网络和连接解决方案。它为用户提供了一个直观、易用的界面，通过该界面可以轻松地配置、监控和管理复杂的网络环境。适用于各种复杂的网络环境。通过其提供的自动化、编排和安全功能，用户可以轻松地管理他们的网络环境，并快速响应各种网络需求。

0x02 漏洞概述

Aviatrix Controller受影响版本中，由于对/v1/api 下 list_flightpath_destination_instances 操作中的 cloud_type 参数或 flightpath_connection_test 操作中的 src_cloud_type 参数缺乏适当的输入清理，可能导致命令注入漏洞，未经身份验证的远程攻击者可以构造恶意请求，利用该漏洞执行任意命令。

0x03 影响范围

Aviatrix Controller < 7.1.4191

Aviatrix Controller 7.2.x < 7.2.4996

0x04 复现环境

FOFA：app="aVIaTrIX-Controller"