CVE-2023-51649

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2023-51649
Nautobot is a Network Source of Truth and Network Automation Platform built as a web application atop the Django Python framework with a PostgreSQL or MySQL database. When submitting a Job to run via a Job Button, only the model-level `extras.run_job` permission is checked (i.e., does the user have permission to run Jobs in general). Object-level permissions (i.e., does the user have permission to run this specific Job?) are not enforced by the URL/view used in this case. A user with permissions to run even a single Job can actually run all configured JobButton Jobs. Fix will be available in Nautobot 1.6.8 and 2.1.0

3.5 /10

CVSS v3 : LOW

V3 Legend

Vector :

Exploitability : 1.8 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required LOW

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact LOW

Scope CHANGED

References
Link Resource
https://github.com/nautobot/nautobot/issues/4988 Issue Tracking
https://github.com/nautobot/nautobot/pull/4993 Issue Tracking Patch
https://github.com/nautobot/nautobot/pull/4995 Issue Tracking Patch
https://github.com/nautobot/nautobot/security/advisories/GHSA-vf5m-xrhm-v999 Patch Vendor Advisory
https://github.com/nautobot/nautobot/issues/4988 Issue Tracking
https://github.com/nautobot/nautobot/pull/4993 Issue Tracking Patch
https://github.com/nautobot/nautobot/pull/4995 Issue Tracking Patch
https://github.com/nautobot/nautobot/security/advisories/GHSA-vf5m-xrhm-v999 Patch Vendor Advisory
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:networktocode:nautobot:*:*:*:*:*:*:*:*
cpe:2.3:a:networktocode:nautobot:*:*:*:*:*:*:*:*
History

21 Nov 2024, 08:38

Type Values Removed Values Added
Summary (es) Nautobot es una Network Automation Platform y Network Source of Truth creada como una aplicación web sobre el marco Django Python con una base de datos PostgreSQL o MySQL. Al enviar un job para ejecutar a través de un botón de job, solo se verifica el permiso `extras.run_job` a nivel de modelo (es decir, si el usuario tiene permiso para ejecutar jobs en general). Los permisos a nivel de objeto (es decir, ¿tiene el usuario permiso para ejecutar este trabajo específico?) no se aplican mediante la URL/vista utilizada en este caso. Un usuario con permisos para ejecutar incluso un solo job puede ejecutar todos los jobs de JobButton configurados. La solución estará disponible en Nautobot 1.6.8 y 2.1.0 (es) Nautobot es una Network Automation Platform y Network Source of Truth creada como una aplicación web sobre el framework Django Python con una base de datos PostgreSQL o MySQL. Al enviar un Job para ejecutar a través de un botón de Job, solo se verifica el permiso `extras.run_job` a nivel de modelo (es decir, si el usuario tiene permiso para ejecutar Jobs en general). Los permisos a nivel de objeto (es decir, ¿tiene el usuario permiso para ejecutar este trabajo específico?) no se aplican mediante la URL/vista utilizada en este caso. Un usuario con permisos para ejecutar incluso un solo Job puede ejecutar todos los Jobs de JobButton configurados. La solución estará disponible en Nautobot 1.6.8 y 2.1.0
References () https://github.com/nautobot/nautobot/issues/4988 - Issue Tracking () https://github.com/nautobot/nautobot/issues/4988 - Issue Tracking
References () https://github.com/nautobot/nautobot/pull/4993 - Issue Tracking, Patch () https://github.com/nautobot/nautobot/pull/4993 - Issue Tracking, Patch
References () https://github.com/nautobot/nautobot/pull/4995 - Issue Tracking, Patch () https://github.com/nautobot/nautobot/pull/4995 - Issue Tracking, Patch
References () https://github.com/nautobot/nautobot/security/advisories/GHSA-vf5m-xrhm-v999 - Patch, Vendor Advisory () https://github.com/nautobot/nautobot/security/advisories/GHSA-vf5m-xrhm-v999 - Patch, Vendor Advisory
CVSS v2 : unknown
v3 : 4.3 		v2 : unknown
v3 : 3.5

03 Jan 2024, 20:05

Type Values Removed Values Added
CPE cpe:2.3:a:networktocode:nautobot:*:*:*:*:*:*:*:*
First Time Networktocode nautobot
Networktocode
CVSS v2 : unknown
v3 : 3.5 		v2 : unknown
v3 : 4.3
Summary
  • (es) Nautobot es una Network Automation Platform y Network Source of Truth creada como una aplicación web sobre el marco Django Python con una base de datos PostgreSQL o MySQL. Al enviar un job para ejecutar a través de un botón de job, solo se verifica el permiso `extras.run_job` a nivel de modelo (es decir, si el usuario tiene permiso para ejecutar jobs en general). Los permisos a nivel de objeto (es decir, ¿tiene el usuario permiso para ejecutar este trabajo específico?) no se aplican mediante la URL/vista utilizada en este caso. Un usuario con permisos para ejecutar incluso un solo job puede ejecutar todos los jobs de JobButton configurados. La solución estará disponible en Nautobot 1.6.8 y 2.1.0
References () https://github.com/nautobot/nautobot/issues/4988 - () https://github.com/nautobot/nautobot/issues/4988 - Issue Tracking
References () https://github.com/nautobot/nautobot/pull/4993 - () https://github.com/nautobot/nautobot/pull/4993 - Issue Tracking, Patch
References () https://github.com/nautobot/nautobot/pull/4995 - () https://github.com/nautobot/nautobot/pull/4995 - Issue Tracking, Patch
References () https://github.com/nautobot/nautobot/security/advisories/GHSA-vf5m-xrhm-v999 - () https://github.com/nautobot/nautobot/security/advisories/GHSA-vf5m-xrhm-v999 - Patch, Vendor Advisory

22 Dec 2023, 17:15

Type Values Removed Values Added
New CVE
Information

Published : 2023-12-22 17:15

Updated : 2024-11-21 08:38

NVD link : CVE-2023-51649

Mitre link : CVE-2023-51649

CVE.ORG link : CVE-2023-51649

JSON object : View

Products Affected

networktocode

  • nautobot
CWE
CWE-863

Incorrect Authorization