Vulnerabilidad en Nautobot (CVE-2025-49142)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/06/2025
Última modificación:
21/08/2025
Descripción
Nautobot es una fuente de confianza en red y una plataforma de automatización de red. Todos los usuarios de versiones de Nautobot anteriores a la 2.4.10 o a la 1.6.32 podrían verse afectados. Debido a una configuración de seguridad insuficiente de la función de plantillas Jinja2, utilizada en campos calculados, enlaces personalizados, etc., en Nautobot, un usuario malintencionado podría configurar este conjunto de funciones de forma que exponga el valor de los secretos definidos en Nautobot al renderizar el contenido de la plantilla, o que invoque las API de Python para modificar datos dentro de Nautobot al renderizar dicho contenido, omitiendo así los permisos de objeto asignados al usuario que lo visualiza. Las versiones 1.6.32 y 2.4.10 de Nautobot incluirán correcciones para esta vulnerabilidad. Esta vulnerabilidad se puede mitigar parcialmente configurando adecuadamente los permisos de objeto para limitar ciertas acciones solo a usuarios de confianza.
Impacto
Puntuación base 4.0
6.00
Gravedad 4.0
MEDIA
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:networktocode:nautobot:*:*:*:*:*:*:*:* | 1.6.32 (excluyendo) | |
| cpe:2.3:a:networktocode:nautobot:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.4.10 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://docs.djangoproject.com/en/4.2/ref/templates/api/#alters-data-description
- https://github.com/nautobot/nautobot/pull/7417
- https://github.com/nautobot/nautobot/pull/7429
- https://github.com/nautobot/nautobot/security/advisories/GHSA-wjw6-95h5-4jpx
- https://jinja.palletsprojects.com/en/stable/sandbox