Aviatrix Controller

Die Schwachstelle betrifft den Aviatrix Controller, die zentrale Verwaltungskomponente zur Steuerung von Netzwerk- und Cloud-Verbindungen. Der Fehler liegt in der Datei-Upload-Funktion: Diese prüft nicht ausreichend, welche Art von Datei hochgeladen wird, sodass sich auch gefährliche Dateitypen einschleusen lassen. In Verbindung mit einem Directory-Traversal-Problem – also dem Ausbrechen aus dem vorgesehenen Verzeichnis durch manipulierte Pfadangaben – kann ein Angreifer die hochgeladene Datei an einer Stelle ablegen, an der sie ausgeführt wird. Auf diese Weise lässt sich beliebiger Code auf dem System ausführen. Besonders kritisch ist, dass dafür keine Anmeldung erforderlich ist: Ein unauthentifizierter Angreifer kann den Angriff ohne gültige Zugangsdaten durchführen. Da der Controller eine zentrale Rolle in der Netzwerksteuerung einnimmt, bedeutet eine erfolgreiche Übernahme weitreichende Kontrolle über die verwaltete Infrastruktur.