| タイトル | networktocodeのnautobotにおける認証の欠如に関する脆弱性 |
|---|---|
| 概要 | Nautobotはネットワークの情報源およびネットワーク自動化プラットフォームです。2.4.33および3.1.2より前のバージョンでは、GenericForeignKeyを介したオブジェクト間の参照(これは、オブジェクトが複数の異なる「コンテンツタイプ」またはデータベーステーブルのいずれかに属する別のオブジェクトを参照できるパターンです)において、GenericForeignKeyを含むオブジェクトの作成または更新時に、NautobotのREST APIが対象オブジェクトの「閲覧」権限を適切に適用せず、その参照が有効であるかどうかを検証できない問題がありました。この脆弱性は2.4.33および3.1.2で修正されています。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月28日0:00 |
| 登録日 | 2026年6月3日17:01 |
| 最終更新日 | 2026年6月3日17:01 |
| CVSS3.0 : 警告 | |
| スコア | 5.4 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
| networktocode |
| nautobot 2.4.33 未満 |
| nautobot 3.0.0 以上 3.1.2 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月03日] 掲載 |
2026年6月3日17:01 |
| 概要 | Nautobot is a Network Source of Truth and Network Automation Platform. Prior to 2.4.33 and 3.1.2, in the case of inter-object references via GenericForeignKey (a pattern allowing an object to reference another object that may belong to one of several different "content types" or database tables), when creating or updating an object containing a GenericForeignKey, Nautobot's REST API failed to enforce user "view" permissions when determining whether a given reference to another object would be valid. This vulnerability is fixed in 2.4.33 and 3.1.2. |
|---|---|
| 公表日 | 2026年5月29日3:16 |
| 登録日 | 2026年5月29日4:15 |
| 最終更新日 | 2026年5月29日22:29 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:networktocode:nautobot:*:*:*:*:*:*:*:* | 2.4.33 | ||||
| cpe:2.3:a:networktocode:nautobot:*:*:*:*:*:*:*:* | 3.0.0 | 3.1.2 | |||