CVE-2026-29514 in NetBox정보

요약

\~에 의해 VulDB • 2026. 05. 15.

NetBox 버전 4.3.5부터 4.5.4까지에는 RenderTemplateMixin.get_environment_params() 메서드에서 원격 코드 실행(RCE) 취약점이 존재합니다. 이 취약점은 exporttemplate 또는 configtemplate 권한을 가진 인증된 사용자가 environment_params 필드에 악의적인 Python callables를 지정하여 임의의 코드를 실행할 수 있게 합니다. 공격자는 finalize 매개변수를 subprocess.getoutput과 같이 import 가능한 Python callable로 설정하여 Jinja2 SandboxedEnvironment 보호 장치를 우회할 수 있습니다. 이는 샌드박스 호출 인터셉션 메커니즘 외부에서 렌더링되는 모든 표현식에 대해 호출되므로, NetBox 서비스 사용자 권한으로 원격 코드 실행을 달성합니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

VulnCheck

예약하다

2026. 03. 04.

공개

2026. 05. 04.

모더레이션

수락

항목

VDB-360986

CPE

준비됨

CWE

CWE-183 (확인됨)

CVSS

8.8 (CNA)

EPSS

0.00067

KEV

아니요

활동

매우 낮음

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-29514
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-29514
CVE Details	https://www.cvedetails.com/cve/CVE-2026-29514/

◂ 이전 개요 다음 ▸

Interested in the pricing of exploits?

See the underground prices here!