Vulnerabilidad en Nautobot (CVE-2023-50263)

Nautobot es una plataforma de automatización de redes y fuente de verdad de red creada como una aplicación web sobre el framework Django Python con una base de datos PostgreSQL o MySQL. En Nautobot 1.x y 2.0.x anteriores a 1.6.7 y 2.0.6, se utilizan las URL `/files/get/?name=...` y `/files/download/?name=...` para proporcionar acceso de administrador a los archivos que se han cargado como parte de una solicitud de ejecución para un trabajo que tiene entradas FileVar. En condiciones normales de funcionamiento, estos archivos son efímeros y se eliminan una vez que se ejecuta el trabajo en cuestión. En la implementación predeterminada utilizada en Nautobot, proporcionada por `django-db-file-storage`, estas URL no requieren de forma predeterminada ninguna autenticación de usuario para acceder; en su lugar, deberían restringirse únicamente a los usuarios que tengan permisos para ver las instancias del modelo `FileProxy` de Nautobot. Tenga en cuenta que no se proporciona ningún mecanismo de URL para enumerar o recorrer los valores de "nombre" de archivos disponibles, por lo que en la práctica un usuario no autenticado tendría que adivinar nombres para descubrir archivos arbitrarios para descargar, pero si un usuario conoce el nombre del archivo/valor de ruta, pueden acceder a él sin autenticarse, por lo que consideramos esto una vulnerabilidad. Las correcciones se incluyen en Nautobot 1.6.7 y Nautobot 2.0.6. No hay workarounds disponibles aparte de aplicar los parches incluidos en esas versiones.