Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Nautobot (CVE-2024-29199)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
26/03/2024
Última modificación:
26/03/2024

Descripción

Nautobot es una plataforma de automatización de redes y fuente de verdad de red. Se descubrió que varios endpoints de URL de Nautobot no eran accesibles correctamente para usuarios no autenticados (anónimos). Estos endpoints no revelarán ningún dato de Nautobot a un usuario no autenticado a menos que la variable de configuración de Nautobot EXEMPT_VIEW_PERMISSIONS se cambie de su valor predeterminado (una lista vacía) para permitir el acceso a datos específicos por parte de usuarios no autenticados. Esta vulnerabilidad se solucionó en 1.6.16 y 2.1.9.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.70 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
3.70
Gravedad 3.x
BAJA

Referencias a soluciones, herramientas e información