Vulnerabilidad en Nautobot (CVE-2023-48705)

Nautobot es una plataforma de automatización de red y fuente de verdad de red creada como una aplicación web. Todos los usuarios de versiones de Nautobot anteriores a 1.6.6 o 2.0.5 se ven potencialmente afectados por una vulnerabilidad de cross-site scripting. Debido al uso incorrecto de la API `mark_safe()` de Django al representar ciertos tipos de contenido escrito por el usuario; incluidos enlaces personalizados, botones de trabajo y campos calculados; Es posible que los usuarios con permiso para crear o editar este tipo de contenido puedan crear un payload malicioso (como código JavaScript) que se ejecutaría al representar páginas que contengan este contenido. Los mantenedores han solucionado los usos incorrectos de `mark_safe()` (generalmente reemplazándolos con el uso apropiado de `format_html()`) para evitar que se ejecuten dichos datos maliciosos. Los usuarios de Nautobot 1.6.x LTM deben actualizar a v1.6.6 y los usuarios de Nautobot 2.0.x deben actualizar a v2.0.5. Se pueden y se deben aplicar permisos de objetos apropiados para restringir qué usuarios pueden crear o editar los tipos de contenido escritos por el usuario antes mencionados. Aparte de eso, no existe ningún workaround directo disponible.