製品・ソフトウェアに関する情報
Vulnerability Search
networktocodeのnautobotにおける認証の欠如に関する脆弱性
Title networktocodeのnautobotにおける認証の欠如に関する脆弱性
Summary

Nautobotはネットワークの情報源およびネットワーク自動化プラットフォームです。2.4.33および3.1.2より前のバージョンでは、GenericForeignKeyを介したオブジェクト間の参照(これは、オブジェクトが複数の異なる「コンテンツタイプ」またはデータベーステーブルのいずれかに属する別のオブジェクトを参照できるパターンです)において、GenericForeignKeyを含むオブジェクトの作成または更新時に、NautobotのREST APIが対象オブジェクトの「閲覧」権限を適切に適用せず、その参照が有効であるかどうかを検証できない問題がありました。この脆弱性は2.4.33および3.1.2で修正されています。

Possible impacts ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date May 28, 2026, midnight
Registration Date June 3, 2026, 5:01 p.m.
Last Update June 3, 2026, 5:01 p.m.
CVSS3.0 : 警告
Score 5.4
Vector CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Affected System
networktocode
nautobot 2.4.33 未満
nautobot 3.0.0 以上 3.1.2 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年06月03日]
  掲載		 June 3, 2026, 5:01 p.m.
NVD Vulnerability Information
CVE-2026-44794
Summary

Nautobot is a Network Source of Truth and Network Automation Platform. Prior to 2.4.33 and 3.1.2, in the case of inter-object references via GenericForeignKey (a pattern allowing an object to reference another object that may belong to one of several different "content types" or database tables), when creating or updating an object containing a GenericForeignKey, Nautobot's REST API failed to enforce user "view" permissions when determining whether a given reference to another object would be valid. This vulnerability is fixed in 2.4.33 and 3.1.2.

Publication Date May 29, 2026, 3:16 a.m.
Registration Date May 29, 2026, 4:15 a.m.
Last Update May 29, 2026, 10:29 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:networktocode:nautobot:*:*:*:*:*:*:*:* 2.4.33
cpe:2.3:a:networktocode:nautobot:*:*:*:*:*:*:*:* 3.0.0 3.1.2
Related information, measures and tools
Common Vulnerabilities List