CVE-2023-25657 in Nautobotinformation

Résumé

par VulDB • 27/05/2026

Nautobot est une plateforme de « Source of Truth » réseau et d'automatisation réseau. Tous les utilisateurs de Nautobot dont la version est antérieure à la 1.5.7 sont impactés par une vulnérabilité d'exécution de code à distance (RCE). Nautobot ne sandboxes pas correctement le rendu des modèles Jinja2. Dans Nautobot 1.5.7, des environnements sandboxés ont été activés pour le moteur de modèles Jinja2 utilisé en interne pour le rendu des modèles des objets suivants : `extras.ComputedField`, `extras.CustomLink`, `extras.ExportTemplate`, `extras.Secret`, `extras.Webhook`. Bien qu'aucun exploit actif de cette vulnérabilité ne soit connu, ce changement a été effectué à titre préventif pour se protéger contre toute attaque potentielle d'exécution de code à distance utilisant du code de modèle malveillamment conçu. Ce changement oblige le moteur de modèles Jinja2 à utiliser un `SandboxedEnvironment` sur toutes les nouvelles installations de Nautobot. Cela résout tout risque d'exécution de code non sécurisé partout où la fonction utilitaire `nautobot.utilities.utils.render_jinja2` est appelée. De plus, la documentation qui suggérait précédemment l'utilisation directe de `jinja2.Template` a été révisée pour recommander `render_jinja2`. Il est conseillé aux utilisateurs de mettre à niveau vers Nautobot 1.5.7 ou une version plus récente. Pour les utilisateurs qui ne peuvent pas mettre à niveau vers la dernière version de Nautobot, vous pouvez ajouter le paramètre suivant à votre fichier `nautobot_config.py` pour appliquer l'application de l'environnement sandboxé : `TEMPLATES[1]["OPTIONS"]["environment"] = "jinja2.sandbox.SandboxedEnvironment"`. Après avoir appliqué ce changement, vous devez redémarrer tous les services Nautobot, y compris tous les processus workers Celery. **Remarque :** *Nautobot spécifie par défaut deux moteurs de modèles, le premier étant « django » pour le moteur de modèles intégré de Django, et le second étant « jinja » pour le moteur de modèles Jinja2. Ce paramètre recommandé mettra à jour le deuxième élément de la liste des moteurs de modèles, qui est le moteur Jinja2.* Pour les utilisateurs qui ne peuvent pas mettre à jour immédiatement leur configuration, par exemple si le redémarrage d'un service Nautobot est trop perturbateur pour les opérations, l'accès pour fournir des valeurs de modèles Jinja2 personnalisées peut être atténué en utilisant des autorisations pour restreindre les actions de « modification » (écriture) aux types d'objets affectés listés dans la première section. **Remarque :** *Cette solution est destinée à être une mesure temporaire jusqu'à ce que vous puissiez mettre à jour avec succès votre `nautobot_config.py` ou mettre à niveau votre instance Nautobot pour appliquer l'application de l'environnement sandboxé.*

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub, Inc.

Réserver

09/02/2023

Divulgation

21/02/2023

Modérer

accepté

Entrée

VDB-221595

CPE

prêt

EPSS

0.01526

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!