CVE-2024-47226

NetBox versão 4.1.0

Existe uma vulnerabilidade de script entre sites (XSS) armazenada no recurso “Histórico de configuração” do painel ‘Admin’ através do endpoint “/core/config-revisions/”, especificamente por meio da ação “Adicionar”. Um usuário autenticado pode injetar JavaScript ou HTML arbitrário no campo “Banner superior”. No entanto, observa-se que vários terceiros contestaram que isso não constitui uma vulnerabilidade, argumentando que o recurso de banner de revisão de configuração se destina a conter HTML não sanitizado para exibir notificações aos usuários.

Para a versão 4.1.0 do NetBox, considere restringir o uso do campo “Banner superior” no recurso “Histórico de configuração” até que a vulnerabilidade seja resolvida, pois isso pode permitir a injeção de JavaScript ou HTML arbitrário. No entanto, dada a controvérsia sobre se esse comportamento é uma vulnerabilidade ou uma funcionalidade pretendida, deve-se considerar cuidadosamente quaisquer medidas de mitigação para evitar restrições desnecessárias à funcionalidade do sistema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.