CVE-2026-44794

Nome do Software Vulnerável e Versões Afetadas Nautobot versões anteriores a 2.4.33 Nautobot versões anteriores a 3.1.2

Description O Nautobot é uma Plataforma de Automação de Rede e Fonte de Verdade de Rede. A API REST falha ao aplicar as permissões de visualização do usuário ao criar ou atualizar objetos que utilizam referências entre objetos via GenericForeignKey. Este padrão permite que um objeto referencie outro objeto que pode pertencer a um de vários tipos de conteúdo ou tabelas de banco de dados diferentes. Consequentemente, um usuário com permissões para criar ou atualizar registros específicos, como ImageAttachment, mas sem permissões para visualizar certos registros de Device, poderia vincular um anexo a um dispositivo caso possua o UUID do dispositivo. Outros modelos afetados incluem ApprovalWorkflow, Cable, ConfigContext, ContactAssociation, DataCompliance, Device, ExportTemplate, GraphQLQuery, Note, ObjectMetadata, RelationshipAssociation, StaticGroupAssociation e VirtualMachine. Além disso, Apps do Nautobot que fornecem modelos com uma API REST utilizando GenericForeignKey podem estar afetados.

Recommendations Atualizar para a versão 2.4.33. Atualizar para a versão 3.1.2.