CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-44794

Medium
Published: Translated: NVD NIST

Summary

Nautobot, platforma automatyzacji sieci, ma lukę w wersjach przed 2.4.33 i 3.1.2, która dotyczy referencji między obiektami za pomocą GenericForeignKey. Podczas tworzenia lub aktualizacji obiektu z GenericForeignKey, API REST Nautobota nie egzekwowało uprawnień 'widoku' użytkownika, co mogło prowadzić do nieautoryzowanego dostępu.

Risk Assessment

Organizacje mogą być narażone na nieautoryzowany dostęp do danych, co może prowadzić do wycieku informacji lub manipulacji danymi. Brak odpowiednich uprawnień może zagrażać integralności systemu.

Recommendation

Zaleca się aktualizację Nautobota do wersji 2.4.33 lub 3.1.2, aby usunąć tę lukę. Należy również przeprowadzić audyt uprawnień użytkowników w systemie.

Original NVD description (English source)

Nautobot is a Network Source of Truth and Network Automation Platform. Prior to 2.4.33 and 3.1.2, in the case of inter-object references via GenericForeignKey (a pattern allowing an object to reference another object that may belong to one of several different "content types" or database tables), when creating or updating an object containing a GenericForeignKey, Nautobot's REST API failed to enforce user "view" permissions when determining whether a given reference to another object would be valid. This vulnerability is fixed in 2.4.33 and 3.1.2.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS