CVE-2025-49142

Nautobot is a Network Source of Truth and Network Automation Platform. All users of Nautobot versions prior to 2.4.10 or prior to 1.6.32 are potentially affected. Due to insufficient security configuration of the Jinja2 templating feature used in computed fields, custom links, etc. in Nautobot, a malicious user could configure this feature set in ways that could expose the value of Secrets defined in Nautobot when the templated content is rendered or that could call Python APIs to modify data within Nautobot when the templated content is rendered, bypassing the object permissions assigned to the viewing user. Nautobot versions 1.6.32 and 2.4.10 will include fixes for the vulnerability. The vulnerability can be partially mitigated by configuring object permissions appropriately to limit certain actions to only trusted users.

CVSS

No CVSS.

References

Link	Resource
https://docs.djangoproject.com/en/4.2/ref/templates/api/#alters-data-description
https://github.com/nautobot/nautobot/pull/7417
https://github.com/nautobot/nautobot/pull/7429
https://github.com/nautobot/nautobot/security/advisories/GHSA-wjw6-95h5-4jpx
https://jinja.palletsprojects.com/en/stable/sandbox

Configurations

No configuration.

History

12 Jun 2025, 16:06

Type	Values Removed	Values Added
Summary		(es) Nautobot es una fuente de confianza en red y una plataforma de automatización de red. Todos los usuarios de versiones de Nautobot anteriores a la 2.4.10 o a la 1.6.32 podrían verse afectados. Debido a una configuración de seguridad insuficiente de la función de plantillas Jinja2, utilizada en campos calculados, enlaces personalizados, etc., en Nautobot, un usuario malintencionado podría configurar este conjunto de funciones de forma que exponga el valor de los secretos definidos en Nautobot al renderizar el contenido de la plantilla, o que invoque las API de Python para modificar datos dentro de Nautobot al renderizar dicho contenido, omitiendo así los permisos de objeto asignados al usuario que lo visualiza. Las versiones 1.6.32 y 2.4.10 de Nautobot incluirán correcciones para esta vulnerabilidad. Esta vulnerabilidad se puede mitigar parcialmente configurando adecuadamente los permisos de objeto para limitar ciertas acciones solo a usuarios de confianza.

10 Jun 2025, 16:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-06-10 16:15

Updated : 2025-06-12 16:06

NVD link : CVE-2025-49142

Mitre link : CVE-2025-49142

CVE.ORG link : CVE-2025-49142

JSON object : View

Products Affected

No product.

CWE

CWE-1336

Improper Neutralization of Special Elements Used in a Template Engine

JSON object

Attach tags to CVE-2025-49142

Attach tags to `CVE-2025-49142`