CVE-2023-25657 in Nautobot
Сводка
по VulDB • 01.06.2026
Nautobot — это платформа «Источника истины» для сети (Network Source of Truth) и автоматизации сети. Все пользователи версий Nautobot старше 1.5.7 подвержены уязвимости удаленного выполнения кода. В Nautobot не обеспечивалась корректная изоляция (песочница) при рендеринге шаблонов Jinja2. В версии Nautobot 1.5.7 были включены изолированные среды (песочницы) для движка шаблонов Jinja2, используемого внутренне для рендеринга шаблонов для следующих объектов: `extras.ComputedField`, `extras.CustomLink`, `extras.ExportTemplate`, `extras.Secret`, `extras.Webhook`. Хотя на данный момент не известно об активных эксплойтах данной уязвимости, это изменение было внесено в качестве превентивной меры для защиты от потенциальных атак удаленного выполнения кода, использующих злонамеренно созданный код шаблона. Это изменение заставляет движок шаблонов Jinja2 использовать `SandboxedEnvironment` во всех новых установках Nautobot. Это устраняет любые потенциальные риски небезопасного выполнения кода везде, где вызывается вспомогательная функция `nautobot.utilities.utils.render_jinja2`. Кроме того, документация, ранее предлагавшая прямое использование `jinja2.Template`, была пересмотрена с целью рекомендации использования `render_jinja2`. Пользователям рекомендуется обновиться до Nautobot версии 1.5.7 или новее. Для пользователей, которые не могут обновиться до последнего релиза Nautobot, можно добавить следующую настройку в файл `nautobot_config.py` для принудительного применения среды песочницы: `TEMPLATES[1]["OPTIONS"]["environment"] = "jinja2.sandbox.SandboxedEnvironment"`. После применения этого изменения необходимо перезапустить все службы Nautobot, включая любые процессы рабочих узлов Celery. **Примечание:** *Nautobot по умолчанию указывает два движка шаблонов: первый — «django» для встроенного движка шаблонов Django, а второй — «jinja» для движка шаблонов Jinja2. Рекомендуемая настройка обновит второй элемент в списке движков шаблонов, которым является движок Jinja2.* Для пользователей, которые не могут немедленно обновить свою конфигурацию, например, если перезапуск службы Nautobot слишком сильно нарушает работу, доступ к предоставлению пользовательских значений шаблонов Jinja2 может быть ограничен с помощью разрешений, запрещающих действия «изменения» (записи) для затронутых типов объектов, перечисленных в первом разделе. **Примечание:** *Это решение предназначено как временная мера до тех пор, пока вы не сможете успешно обновить свой `nautobot_config.py` или обновить экземпляр Nautobot для применения принудительного использования изолированной среды (песочницы).*
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.