关键漏洞信息 漏洞概述 标题: Secrets exposure and data manipulation through Jinja2 templating 严重性: 中等 (6.0/10) CVE ID: CVE-2025-49142 弱点类型: CWE-1336 影响范围 受影响版本: <1.6.32, <2.4.10 修复版本: 1.6.32, 2.4.10 描述与影响 问题: 由于Nautobot中Jinja2模板功能的安全配置不足,可能导致: 1. 恶意用户暴露Nautobot中定义的秘密值。 2. 恶意用户调用Python API修改数据,绕过对象权限。 修复措施 已修复版本: Nautobot 1.6.32和2.4.10包含修复此漏洞的补丁。 缓解措施 临时解决方案: 通过适当配置对象权限,限制以下操作仅限受信任用户: - extras.add_secret - extras.change_secret - extras.view_secret - extras.add_computedfield - extras.change_computedfield - extras.add_customlink - extras.change_customlink - extras.add_jobbutton - extras.change_jobbutton 参考资料 Jinja2官方文档 Django模板API 相关问题: #7417, #7429