CVE-2024-34707

Versões do Nautobot anteriores à 1.6.22

Versões do Nautobot anteriores à 2.2.4

Um usuário do Nautobot com privilégios de administrador pode modificar as configurações BANNER TOP, BANNER BOTTOM e BANNER LOGIN através do endpoint “/admin/constance/config/”. Normalmente, essas configurações são usadas para fornecer texto de banner personalizado na parte superior e inferior de todas as páginas da web do Nautobot (ou especificamente na página de login, no caso de BANNER LOGIN), mas foi relatado que um usuário administrador pode utilizar essas configurações para injetar HTML arbitrário, expondo potencialmente os usuários do Nautobot a problemas de segurança, como cross-site scripting (XSS armazenado).

Para versões do Nautobot anteriores à 1.6.22 e 2.2.4, atualize para a versão 1.6.22 ou 2.2.4 para corrigir o problema.

Como solução temporária, adicione a seguinte configuração ao nautobot config.py ou ao arquivo de configuração equivalente do Nautobot:

BANNER LOGIN = “ ”

BANNER TOP = “ ”

BANNER BOTTOM = “ ”

Alternativamente, para o Nautobot 2.x, defina as seguintes variáveis de ambiente para a conta de usuário do Nautobot:

NAUTOBOT BANNER LOGIN=“ ”

NAUTOBOT BANNER TOP=" "

NAUTOBOT BANNER BOTTOM=" "

Limitar todos os usuários que não precisam de privilégios elevados a acesso não administrativo (is superuser: False e is staff: False) também é uma mitigação parcial.