Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Nautobot (CVE-2024-23345)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
23/01/2024
Última modificación:
29/01/2024

Descripción

Nautobot es una plataforma de automatización de redes y fuente de verdad de red creada como una aplicación web. Todos los usuarios de versiones de Nautobot anteriores a 1.6.10 o 2.1.2 se ven potencialmente afectados por una vulnerabilidad de cross-site scripting. Debido a una sanitización de entrada inadecuada, cualquier campo editable por el usuario que admita la representación de Markdown, incluido el mismo, es potencialmente susceptible a ataques de cross-site scripting (XSS) a través de datos creados con fines malintencionados. Este problema se solucionó en las versiones 1.6.10 y 2.1.2 de Nautobot.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:networktocode:nautobot:*:*:*:*:*:*:*:* 1.6.10 (excluyendo)
cpe:2.3:a:networktocode:nautobot:*:*:*:*:*:*:*:* 2.0.0 (incluyendo) 2.1.2 (excluyendo)