Vulnerabilidad en Nautobot Device Onboarding (CVE-2023-48700)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-256 Almacenamiento de un contraseña en texto claro

Fecha de publicación:

21/11/2023

Última modificación:

30/11/2023

Descripción

El complemento Nautobot Device Onboarding utiliza las librerías netmiko y NAPALM para simplificar el proceso de incorporación de un nuevo dispositivo a Nautobot hasta, en muchos casos, una dirección IP y una ubicación. A partir de la versión 2.0.0 y anteriores a la versión 3.0.0, las credenciales proporcionadas para la tarea de incorporación son visibles a través de los resultados del trabajo desde la ejecución de una tarea de incorporación. La versión 3.0.0 soluciona este problema; no hay workarounds conocidos disponibles. Las recomendaciones de mitigación incluyen eliminar todos los resultados del trabajo para cualquier tarea de incorporación para eliminar las credenciales de texto plano de las entradas de la base de datos que se ejecutaron en la versión 2.0.X, actualizar a la versión 3.0.0 y rotar las credenciales expuestas.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:nautobot:nautobot-plugin-device-onboarding::::::::	2.0.0 (incluyendo)	3.0.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/nautobot/nautobot-plugin-device-onboarding/security/advisories/GHSA-qf3c-rw9f-jh7v