Joewesch

**Nome do software vulnerável e versões afetadas** Versões do Nautobot anteriores à 1.6.16 Versões do Nautobot anteriores à 2.1.9 **Descrição** Verificou-se que vários pontos de extremidade (endpoints) de URL do Nautobot estavam indevidamente acessíveis a usuários não autenticados. Esses endpoints incluem “/api/graphql/”, “/api/users/users/session/”, “/dcim/racks/<uuid:pk>/dynamic-groups/”, “/dcim/devices/<uuid:pk>/dynamic-groups/”, “/extras/job-results/<uuid:pk>/log-table/” e outros. A variável de configuração `EXEMPT VIEW PERMISSIONS` pode permitir o acesso a dados específicos por usuários não autenticados se alterada de seu valor padrão. O endpoint “/extras/job-results/<uuid:pk>/log-table/” representa um risco significativo de divulgação de informações confidenciais durante a operação normal do Nautobot com uma configuração padrão. **Recomendações** Para versões anteriores à 1.6.16, atualize para a versão 1.6.16 ou posterior para corrigir o problema. Para versões anteriores à 2.1.9, atualize para a versão 2.1.9 ou posterior para corrigir o problema. Como solução alternativa temporária, considere reverter a variável de configuração `EXEMPT VIEW PERMISSIONS` para seu valor padrão para evitar a exposição de informações do Nautobot a usuários não autenticados.