Наутобот — это сетевой источник истины и платформа сетевой автоматизации. До версий 2.4.30 и 3.0.10 при создании и редактировании пользователей через REST API не применяются правила проверки пароля, определенные настройкой AUTH_PASSWORD_VALIDATORS Django (по умолчанию это пустой список, т. е. никаких конкретных правил, но при желании можно настроить в файле nautobot_config.py Nautobot для применения различных правил). Это потенциально может привести к созданию или изменению паролей пользователей, которые будут слабыми или иным образом не соответствуют настроенным стандартам.
Эта проблема исправлена в версиях 2.4.30 и 3.0.10.
Показать оригинальное описание (EN)
Nautobot is a Network Source of Truth and Network Automation Platform. Prior to versions 2.4.30 and 3.0.10, user creation and editing via the REST API fails to apply the password validation rules defined by Django's AUTH_PASSWORD_VALIDATORS setting (which defaults to an empty list, i.e., no specific rules, but can be configured in Nautobot's nautobot_config.py to apply various rules if desired). This can potentially allow for the creation or modification of users to have passwords that are weak or otherwise do not comply with configured standards. This issue has been patched in versions 2.4.30 and 3.0.10.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Networktocode Nautobot
cpe:2.3:a:networktocode:nautobot:*:*:*:*:*:*:*:*
|
— |
2.4.30
|
|
Networktocode Nautobot
cpe:2.3:a:networktocode:nautobot:*:*:*:*:*:*:*:*
|
3.0.0
|
3.0.10
|