netbox-docker до версии 2.5.0 имеет учетную запись суперпользователя с учетными данными по умолчанию (пароль администратора для учетной записи администратора и значение 0123456789abcdef0123456789abcdef01234567 для SUPERUSER_API_TOKEN). На практике в общедоступном Интернете почти все пользователи меняли пароль, но только около 90% меняли токен. Наличие значения токена по умолчанию было намеренным и было ценным для основного предполагаемого варианта использования продукта netbox-docker (изолированные сети разработки).
Некоторые пользователи пытались перепрофилировать netbox-docker для производства. В документации к этому проекту указано, что значения по умолчанию использовать нельзя. Однако установка не обеспечила значения, отличные от значений по умолчанию.
Поставщик знал о присвоении идентификатора CVE и не возражал против такого присвоения.
Показать оригинальное описание (EN)
netbox-docker before 2.5.0 has a superuser account with default credentials (admin password for the admin account, and 0123456789abcdef0123456789abcdef01234567 value for SUPERUSER_API_TOKEN). In practice on the public Internet, almost all users changed the password but only about 90% changed the token. Having a default token value was intentional and was valuable for the main intended use case of the netbox-docker product (isolated development networks). Some users engaged in an effort to repurpose netbox-docker for production. The documentation for this effort stated that the defaults must not be used. However, installation did not ensure non-default values. The Supplier was aware of the CVE ID assignment and did not object to the assignment.
Характеристики атаки
Последствия
Строка CVSS v3.1