一、 漏洞 CVE-2023-46128 基础信息
漏洞标题
通过Nautobot中的REST API暴露经过哈希处理的用户密码
来源:AIGC 神龙大模型
漏洞描述信息
## 漏洞概述 Nautobot 2.0.x 版本中某些REST API端点在结合`?depth=<N>`查询参数使用时,允许任何有访问权限的认证用户获取数据库中存储的用户密码的哈希值。 ## 影响版本 Nautobot 2.0.x (已修复于版本 2.0.3) ## 细节 在Nautobot 2.0.x 版本中,某些REST API端点与查询参数`?depth=<N>`的组合使用下,能够暴露数据库中存储的用户密码的哈希值。 ## 影响 虽然密码不是以明文形式暴露,但任何具有访问这些端点权限的认证用户均可以获取到数据库中存储的用户密码哈希值。此漏洞在2.0.3版本中已修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
敏感数据的明文存储
来源:AIGC 神龙大模型
漏洞标题
Exposure of hashed user passwords via REST API in Nautobot
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Nautobot is a Network Automation Platform built as a web application atop the Django Python framework with a PostgreSQL or MySQL database. In Nautobot 2.0.x, certain REST API endpoints, in combination with the `?depth=<N>` query parameter, can expose hashed user passwords as stored in the database to any authenticated user with access to these endpoints. The passwords are not exposed in plaintext. This vulnerability has been patched in version 2.0.3.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Nautobot 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Nautobot是Nautobot个人开发者的一个网络自动化平台。 Nautobot 2.0.3之前版本存在安全漏洞,该漏洞源于某些REST API端点与查询参数相结合,可以向有权访问这些端点的任何经过身份验证的用户公开存储在数据库中的散列用户密码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-46128 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-46128 的情报信息