Vulnerabilidad en Nautobot (CVE-2023-46128)
Severidad:
MEDIA
Type:
CWE-312
Almacenamiento de información sensible en texto claro
Fecha de publicación:
25/10/2023
Última modificación:
01/11/2023
Descripción
Nautobot es una plataforma de automatización de redes construida como una aplicación web sobre el framework Django Python con una base de datos PostgreSQL o MySQL. En Nautobot 2.0.x, ciertos endpoints de la API REST, en combinación con el parámetro de consulta `? Depth=`, pueden exponer contraseñas de usuario con hash almacenadas en la base de datos a cualquier usuario autenticado con acceso a estos endpoints. Las contraseñas no están expuestas en texto plano. Esta vulnerabilidad ha sido parcheada en la versión 2.0.3.
Impacto
Puntuación base 3.x
6.50
Severidad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:networktocode:nautobot:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.0.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página