JVNDB-2026-010395

networktocodeのnautobotにおける脆弱なパスワードの要求に関する脆弱性

Nautobotはネットワークのソースオブトゥルースおよびネットワーク自動化プラットフォームです。バージョン2.4.30および3.0.10以前では、REST APIを介してユーザーの作成および編集を行う際に、DjangoのAUTH_PASSWORD_VALIDATORS設定で定義されたパスワード検証ルール（デフォルトは空リストで、つまり特定のルールはありませんが、必要に応じてNautobotのnautobot_config.pyでさまざまなルールを適用するように設定可能）が適用されませんでした。これにより、弱いパスワードや設定された基準に準拠しないパスワードを持つユーザーを作成または変更できる恐れがありました。この問題はバージョン2.4.30および3.0.10で修正されています。

networktocode

• nautobot 2.4.30 未満
• nautobot 3.0.0 以上 3.0.10 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Management of users via REST API does not apply configured password validators  Advisory  nautobot/nautobot  GitHub

1. 脆弱なパスワードの要求(CWE-521) [その他]

1. CVE-2026-34203

1. National Vulnerability Database (NVD) : CVE-2026-34203
2. 関連文書 : [3.0] Add call to validate_password when managing users via REST API …  nautobot/nautobot@d1ef313  GitHub
3. 関連文書 : [3.0] Add call to validate_password when managing users via REST API by glennmatthews  Pull Request #8778  nautobot/nautobot  GitHub
4. 関連文書 : [2.4] Add call to validate_password when managing users via REST API by glennmatthews  Pull Request #8779  nautobot/nautobot  GitHub
5. 関連文書 : [2.4] Add call to validate_password when managing users via REST API …  nautobot/nautobot@589f7ca  GitHub

• [2026年04月09日]
    掲載