Nautobot dynamic-group-members 未对成员对象强制执行权限限制(CVE-2024-36112)
CVE编号
CVE-2024-36112利用情况
暂无补丁情况
N/A披露时间
2024-05-29漏洞描述
Nautobot是一个网络真相和网络自动化平台。拥有查看动态组记录权限的用户(extras.view_dynamicgroup权限)可以使用动态组详细UI视图(/extras/dynamic-groups/<uuid>/)和/或成员REST API视图(/api/extras/dynamic-groups/<uuid>/members/)列出给定动态组的成员对象。在Nautobot的1.3.0至1.6.22版本和2.0.0至2.2.4版本中,Nautobot未根据成员对象权限限制这些列表 - 例如,设备对象的动态组将列出其中包含的所有设备,而不考虑用户的dcim.view_device权限或缺少该权限。此问题已在Nautobot版本1.6.23和2.2.5中得到修复。建议用户进行升级。可以通过从用户中移除extras.view_dynamicgroup权限部分减轻此漏洞,但要完全修复则需要升级。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/nautobot/nautobot/pull/5757 | |
| https://github.com/nautobot/nautobot/pull/5762 | |
| https://github.com/nautobot/nautobot/security/advisories/GHSA-qmjf-wc2h-6x3q |
- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 低
- 影响范围 已更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 无
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论