Katalog CVE

CVE-2026-44794

Średnie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Nautobot, platforma automatyzacji sieci, ma lukę w wersjach przed 2.4.33 i 3.1.2, która dotyczy referencji między obiektami za pomocą GenericForeignKey. Podczas tworzenia lub aktualizacji obiektu z GenericForeignKey, API REST Nautobota nie egzekwowało uprawnień 'widoku' użytkownika, co mogło prowadzić do nieautoryzowanego dostępu.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do danych, co może prowadzić do wycieku informacji lub manipulacji danymi. Brak odpowiednich uprawnień może zagrażać integralności systemu.

Rekomendacja

Zaleca się aktualizację Nautobota do wersji 2.4.33 lub 3.1.2, aby usunąć tę lukę. Należy również przeprowadzić audyt uprawnień użytkowników w systemie.

Oryginalny opis (angielski, źródło NVD)

Nautobot is a Network Source of Truth and Network Automation Platform. Prior to 2.4.33 and 3.1.2, in the case of inter-object references via GenericForeignKey (a pattern allowing an object to reference another object that may belong to one of several different "content types" or database tables), when creating or updating an object containing a GenericForeignKey, Nautobot's REST API failed to enforce user "view" permissions when determining whether a given reference to another object would be valid. This vulnerability is fixed in 2.4.33 and 3.1.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS