Résumé
Le 7 janvier 2025, Aviatrix a publié un bulletin concernant une vulnérabilité critique affectant ses produits Aviatrix Controller. La plateforme d’Aviatrix permet à ses clients de gérer et de sécuriser leur infrastructure cloud à travers différents fournisseurs. Elle est utilisée sur AWS, Azure, GCP, et d’autres encore, y compris dans des environnements d’entreprise. Identifiée sous la référence CVE-2024-50603, cette faille permettrait à un utilisateur non authentifié d’exécuter du code arbitraire contre les contrôleurs Aviatrix.
Solutions
- Installez le correctif de sécurité CVE-2024-50603 – Critical Vulnerability Security Patch ou mettez à jour le contrôleur vers les versions 7.1.4191 ou 7.2.4996.
- Limitez les IP accédant au contrôleur et assurez-vous que le port 443 n’est pas exposé à Internet.
Cette faille est activement exploitée : Oui
Details Techniques
- Score CVSS : 10.0 (Critique)
- Risque : Exécution de code arbitraire
Systèmes affectés
- Aviatrix Controller : toutes les versions avant la 7.1.4191
- Aviatrix Controller : toutes les versions entre 7.2.x et la 7.2.4996
Documentation
-
- Bulletin de sécurité Aviatrix du 7 janvier 2025
https://docs.aviatrix.com/documentation/latest/release-notices/psirt-advisories/psirt-advisories.html?expand=true#remote-code-execution-vulnerability-in-aviatrix-controllers - CVE Details CVE-2024-50603
https://www.cvedetails.com/cve/CVE-2024-50603/ - Référence CVE CVE-2024-50603
https://www.cve.org/CVERecord?id=CVE-2024-50603
- Bulletin de sécurité Aviatrix du 7 janvier 2025