Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en las funciones de la API de Aviatrix Gateway (CVE-2022-38368)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-287 Autenticación incorrecta
Fecha de publicación:
15/08/2022
Última modificación:
16/08/2022

Descripción

Se ha detectado un problema en Aviatrix Gateway versiones anteriores a 6.6.5712 y 6.7.x anteriores a 6.7.1376. Debido a que las funciones de la API de Gateway manejan inapropiadamente la autenticación, un usuario de VPN autenticado puede inyectar comandos arbitrarios.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:aviatrix:gateway:*:*:*:*:*:*:*:* 6.6.5712 (excluyendo)
cpe:2.3:a:aviatrix:gateway:*:*:*:*:*:*:*:* 6.7.0 (incluyendo) 6.7.1376 (excluyendo)