Nautobot · Nautobot · CVE-2024-34707
**Nome do software vulnerável e versões afetadas**
Versões do Nautobot anteriores à 1.6.22
Versões do Nautobot anteriores à 2.2.4
**Descrição**
Um usuário do Nautobot com privilégios de administrador pode modificar as configurações `BANNER TOP`, `BANNER BOTTOM` e `BANNER LOGIN` através do endpoint “/admin/constance/config/”. Normalmente, essas configurações são usadas para fornecer texto de banner personalizado na parte superior e inferior de todas as páginas da web do Nautobot (ou especificamente na página de login, no caso de `BANNER LOGIN`), mas foi relatado que um usuário administrador pode utilizar essas configurações para injetar HTML arbitrário, expondo potencialmente os usuários do Nautobot a problemas de segurança, como cross-site scripting (XSS armazenado).
**Recomendações**
Para versões do Nautobot anteriores à 1.6.22 e 2.2.4, atualize para a versão 1.6.22 ou 2.2.4 para corrigir o problema.
Como solução temporária, adicione a seguinte configuração ao `nautobot config.py` ou ao arquivo de configuração equivalente do Nautobot:
```
BANNER LOGIN = “ ”
BANNER TOP = “ ”
BANNER BOTTOM = “ ”
```
Alternativamente, para o Nautobot 2.x, defina as seguintes variáveis de ambiente para a conta de usuário do Nautobot:
```
NAUTOBOT BANNER LOGIN=“ ”
NAUTOBOT BANNER TOP=" "
NAUTOBOT BANNER BOTTOM=" "
```
Limitar todos os usuários que não precisam de privilégios elevados a acesso não administrativo (`is superuser: False` e `is staff: False`) também é uma mitigação parcial.