BDU:2023-08045

Опубликовано: 25 окт. 2023

Источник: fstec

CVSS3: 6.5

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость программного средства управления сетевой инфраструктурой Nautobot связана с незашифрованным хранением учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать влияние на конфиденциальность информации

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Nautobot

Версия ПО

от 2.0.0 до 2.0.3 (Nautobot)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/nautobot/nautobot/security/advisories/GHSA-r2hw-74xv-4gqp

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-46128
CVE

EPSS

Процентиль: 43%

0.00209

Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2023-46128

CVSS3: 6.5

nvd

больше 2 лет назад

Nautobot is a Network Automation Platform built as a web application atop the Django Python framework with a PostgreSQL or MySQL database. In Nautobot 2.0.x, certain REST API endpoints, in combination with the `?depth=<N>` query parameter, can expose hashed user passwords as stored in the database to any authenticated user with access to these endpoints. The passwords are not exposed in plaintext. This vulnerability has been patched in version 2.0.3.

GHSA-r2hw-74xv-4gqp

CVSS3: 7.7

github