PT-2024-25026 · Nautobot · Nautobot
Michaelpanorios
·
Publicado
2024-05-01
·
Atualizado
2024-05-02
·
CVE-2024-32979
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do Nautobot anteriores à 1.6.20
Versões do Nautobot anteriores à 2.2.3
Descrição
Um ataque de Cross-Site Scripting refletido (Reflected XSS) pode ser executado contra usuários devido ao tratamento e escape inadequados de parâmetros de consulta fornecidos pelo usuário no Nautobot. Todas as visualizações de listas de objetos filtráveis no Nautobot estão vulneráveis, incluindo vários pontos de extremidade da API, como “/dcim/location-types/”, “/dcim/locations/”, “/dcim/racks/” e muitos outros.
Recomendações
Para versões anteriores à 1.6.20, atualize para a versão 1.6.20 ou posterior.
Para versões anteriores à 2.2.3, atualize para a versão 2.2.3 ou posterior.
Como solução temporária, considere restringir o acesso às visualizações de listas de objetos filtráveis até que um patch seja aplicado.
Evite usar parâmetros de consulta fornecidos pelo usuário nos pontos de extremidade da API afetados até que o problema seja resolvido.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nautobot