PT-2024-26899 · Nautobot · Nautobot
Glenn Matthews
·
Publicado
2024-05-28
·
Atualizado
2024-05-29
·
CVE-2024-36112
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Nautobot 1.3.0 a 1.6.22
Versões do Nautobot 2.0.0 a 2.2.4
Descrição
Um usuário com permissão
extras.view dynamicgroup pode usar a visualização da interface do usuário de detalhes do Grupo Dinâmico (/extras/dynamic-groups/<uuid>/) e/ou a visualização da API REST de membros (/api/extras/dynamic-groups/<uuid>/members/) para listar os objetos que são membros de um determinado Grupo Dinâmico. O Nautobot não consegue restringir essas listagens com base nas permissões dos objetos membros; por exemplo, um Grupo Dinâmico de objetos Dispositivos listará todos os Dispositivos que ele contém, independentemente das permissões dcim.view device do usuário ou da falta delas.Recomendações
Para as versões 1.3.0 a 1.6.22 do Nautobot, atualize para a versão 1.6.23.
Para as versões 2.0.0 a 2.2.4 do Nautobot, atualize para a versão 2.2.5.
Como solução alternativa temporária, considere remover a permissão
extras.view dynamicgroup dos usuários para mitigar parcialmente o problema.Exploit
Correção
Improper Handling of Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Nautobot