Glenn Matthews

**Nome do software vulnerável e versões afetadas** Versões do Nautobot 1.3.0 a 1.6.22 Versões do Nautobot 2.0.0 a 2.2.4 **Descrição** Um usuário com permissão `extras.view dynamicgroup` pode usar a visualização da interface do usuário de detalhes do Grupo Dinâmico (`/extras/dynamic-groups/<uuid>/`) e/ou a visualização da API REST de membros (`/api/extras/dynamic-groups/<uuid>/members/`) para listar os objetos que são membros de um determinado Grupo Dinâmico. O Nautobot não consegue restringir essas listagens com base nas permissões dos objetos membros; por exemplo, um Grupo Dinâmico de objetos Dispositivos listará todos os Dispositivos que ele contém, independentemente das permissões `dcim.view device` do usuário ou da falta delas. **Recomendações** Para as versões 1.3.0 a 1.6.22 do Nautobot, atualize para a versão 1.6.23. Para as versões 2.0.0 a 2.2.4 do Nautobot, atualize para a versão 2.2.5. Como solução alternativa temporária, considere remover a permissão `extras.view dynamicgroup` dos usuários para mitigar parcialmente o problema.