CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-44797

High
Published: Translated: NVD NIST

Summary

Nautobot to platforma automatyzacji sieci i źródło prawdy o sieci. W wersjach przed 2.4.33 i 3.1.2, model danych Webhooka mógł być konfigurowany przez użytkowników z odpowiednimi uprawnieniami, co pozwalało na wykonywanie nieautoryzowanych żądań do różnych hostów i adresów IP, co przypomina atak typu server-side request forgery (SSRF).

Risk Assessment

Podatność ta może prowadzić do nieautoryzowanego dostępu do zasobów sieciowych, co stwarza ryzyko wycieku danych lub przejęcia kontroli nad systemami. Organizacje powinny być świadome potencjalnych zagrożeń związanych z niewłaściwą konfiguracją Webhooków.

Recommendation

Zaleca się aktualizację Nautobota do wersji 2.4.33 lub 3.1.2, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt konfiguracji Webhooków, aby upewnić się, że nie ma możliwości wykonywania nieautoryzowanych żądań.

Original NVD description (English source)

Nautobot is a Network Source of Truth and Network Automation Platform. Prior to 2.4.33 and 3.1.2, Nautobot's Webhook data model and associated feature set could be configured by users with sufficient access to perform requests to various hosts and IP addresses that should not be permitted, allowing for various behaviors similar to server-side request forgery (SSRF). This vulnerability is fixed in 2.4.33 and 3.1.2.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS