CVE-2026-29514

Nome do Software Vulnerável e Versões Afetadas NetBox versões 4.3.5 até 4.5.4

Descrição Um problema no método RenderTemplateMixin.get environment params() permite que usuários autenticados com permissões exporttemplate ou configtemplate executem código arbitrário. Ao especificar callables Python maliciosos no campo environment params, atacantes podem burlar as proteções do Jinja2 SandboxedEnvironment. Isso é feito configurando o parâmetro finalize para um callable Python importável, como subprocess.getoutput, que é então invocado em cada expressão renderizada fora do mecanismo de interceptação de chamadas do sandbox, resultando em execução remota de código como o usuário do serviço NetBox.

Recomendações Atualize o NetBox para uma versão posterior à 4.5.4. Como medida paliativa temporária, restrinja as permissões exporttemplate e configtemplate apenas a usuários confiáveis.