PT-2024-19824 · Nautobot · Nautobot
Kircheneer
·
Publicado
2024-01-22
·
Atualizado
2024-01-29
·
CVE-2024-23345
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do Nautobot anteriores à 1.6.10
Versões do Nautobot anteriores à 2.1.2
Descrição
O Nautobot é uma fonte de verdade de rede e uma plataforma de automação de rede desenvolvida como um aplicativo web. Devido à sanitização inadequada de entradas, quaisquer campos editáveis pelo usuário que suportem renderização Markdown são potencialmente suscetíveis a ataques de cross-site scripting (XSS) por meio de dados criados de forma maliciosa. Os campos afetados incluem
Circuit.comments, Cluster.comments, CustomField.description, Device.comments, DeviceRedundancyGroup.comments, DeviceType.comments, Job.description, JobLogEntry.message, Location.comments, Note.note, PowerFeed.comments, Provider. noc contact, Provider.admin contact, Provider.comments, ProviderNetwork.comments, Rack.comments, Tenant.comments, VirtualMachine.comments, o conteúdo de quaisquer campos personalizados do tipo markdown, os atributos description da classe de tarefa e a configuração do sistema SUPPORT MESSAGE.Recomendações
Para versões do Nautobot anteriores à 1.6.10, atualize para a versão 1.6.10 ou posterior para resolver o problema.
Para versões do Nautobot anteriores à 2.1.2, atualize para a versão 2.1.2 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso a campos editáveis pelo usuário que suportem renderização Markdown até que um patch seja aplicado.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nautobot