CVE-2023-25657 in Nautobot
要約
〜によって VulDB • 2026年06月02日
Nautobotは、ネットワークの真実の単一情報源(Source of Truth)およびネットワーク自動化プラットフォームです。Nautobot 1.5.7より前のバージョンのすべてのユーザーは、リモートコード実行(RCE)の脆弱性の影響を受けます。Nautobotは、Jinja2テンプレートレンダリングを適切にサンドボックス化していませんでした。Nautobot 1.5.7では、テンプレートレンダリングのために内部で使用するJinja2テンプレートエンジンに対して、以下のオブジェクトのサンドボックス化された環境が有効化されました:`extras.ComputedField`、`extras.CustomLink`、`extras.ExportTemplate`、`extras.Secret`、`extras.Webhook`。この脆弱性を悪用するアクティブなエクスプロイトは現在知られていませんが、悪意のあるテンプレートコードを利用した潜在的なリモートコード実行攻撃から保護するための予防策として、この変更が行われました。この変更により、Nautobotの新しいインストールでは、Jinja2テンプレートエンジンがすべてのケースで`SandboxedEnvironment`を使用するようになります。これにより、ヘルパー関数`nautobot.utilities.utils.render_jinja2`が呼び出されるすべての場所で、潜在的な安全でないコード実行の問題が解消されます。さらに、以前は`jinja2.Template`の直接使用を推奨していたドキュメントが改訂され、`render_jinja2`の使用を推奨するようになりました。ユーザーはNautobot 1.5.7以降へのアップグレードを推奨します。最新リリースへのアップグレードが不可能なユーザーは、`nautobot_config.py`に以下の設定を追加することで、サンドボックス環境の適用を強制できます:`TEMPLATES[1]["OPTIONS"]["environment"] = "jinja2.sandbox.SandboxedEnvironment"`。この変更を適用した後、Celeryワーカープロセスを含むすべてのNautobotサービスを再起動する必要があります。**注:** *Nautobotはデフォルトで2つのテンプレートエンジンを指定しており、1つ目はDjango組み込みテンプレートエンジン用の“django”、2つ目はJinja2テンプレートエンジン用の“jinja”です。この推奨設定は、テンプレートエンジンのリストの2番目の項目、すなわちJinja2エンジンを更新します。* 設定の更新が即時に不可能な場合(例:Nautobotサービスの再起動が運用に与える影響が大きすぎる場合)、最初のセクションでリストされた影響を受けるオブジェクトタイプに対する“変更”(書き込み)アクションを制限する権限を使用して、カスタムJinja2テンプレート値へのアクセスを緩和することができます。**注:** *この解決策は、`nautobot_config.py`の更新またはNautobotインスタンスのアップグレードによってサンドボックス環境の適用を完了できるまでの暫定措置として意図されています。*
Once again VulDB remains the best source for vulnerability data.