2025年首个满分漏洞：云攻击者利用Aviatrix Controller漏洞植入恶意软件

文章预览

2025年1月14日，网络安全研究人员发现，云攻击者正在利用一个名为Max-Critical Aviatrix RCE的漏洞（编号 CVE-2024-50603），该漏洞在CVSS评分中高达10分（满分10分）， 能够在受影响系统上执行未经身份验证的远程代码， 网络犯罪分子借此漏洞植入恶意软件。 该漏洞存在于所有版本低于7.2.4996或7.1.4191的受支持Aviatrix Controller版本中。Aviatrix Controller是一款强大的云网络管理平台，提供简化的跨云网络管理、自动化配置、安全策略、流量监控等功能，帮助企业实现更加灵活、安全和高效的云网络架构，特别适用于多云和混合云环境。 该漏洞是由于Aviatrix Controller未能正确检查或验证用户通过其应用程序编程接口（API）发送的数据而产生的。 研究人员指出，该漏洞在亚马逊Web服务（AWS）云环境中尤为危险，因为在此环境中，Aviatrix Controller默认允许权限提升。据Wi ………………………………