Vulnerabilidad en netbox-docker de netbox-community (CVE-2023-27573)

netbox-docker anterior a la versión 2.5.0 tiene una cuenta de superusuario con credenciales predeterminadas (contraseña 'admin' para la cuenta 'admin', y el valor 0123456789abcdef0123456789abcdef01234567 para SUPERUSER_API_TOKEN). En la práctica, en la Internet pública, casi todos los usuarios cambiaron la contraseña, pero solo alrededor del 90% cambió el token. Tener un valor de token predeterminado fue intencional y fue valioso para el caso de uso principal previsto del producto netbox-docker (redes de desarrollo aisladas). Algunos usuarios se embarcaron en un esfuerzo para reutilizar netbox-docker para producción. La documentación para este esfuerzo indicaba que los valores predeterminados no debían usarse. Sin embargo, la instalación no garantizaba valores no predeterminados. El Proveedor estaba al tanto de la asignación del ID de CVE y no se opuso a la asignación.