Kostenlos scannen
MEDIUMCVE-2026-44796CVSS 6.5

CVE-2026-44796: DoS in Nautobot

Plattform

python

Komponente

nautobot

Behoben in

3.1.2

Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2026-44796 describes a Denial of Service (DoS) vulnerability discovered in Nautobot. Attackers can trigger this vulnerability by crafting malicious regular expressions within the find field of UI object-bulk-rename endpoints, combined with the use_regex flag. This can lead to an application-wide denial of service, rendering the Nautobot interface unresponsive. The vulnerability affects versions of Nautobot up to 3.1.1, and a fix is available in version 3.1.2.

Python

Erkenne diese CVE in deinem Projekt

Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.

requirements.txt hochladenUnterstützte Formate: requirements.txt · Pipfile.lock

Auswirkungen und Angriffsszenarienwird übersetzt…

The primary impact of CVE-2026-44796 is a denial of service. A successful exploit can overwhelm the Nautobot application with regular expression evaluation, preventing legitimate users from accessing and managing network devices and configurations. This disruption can significantly impact network operations and troubleshooting efforts. The vulnerability lies within the UI object-bulk-rename endpoints, specifically when the use_regex flag is enabled alongside a malicious find parameter. The regular expression engine's inability to handle complex or poorly formed patterns can lead to excessive resource consumption and application instability. The blast radius is the entire Nautobot application, potentially impacting all users.

Ausnutzungskontextwird übersetzt…

CVE-2026-44796 was published on May 13, 2026. The vulnerability's severity is rated as Medium. No public proof-of-concept (POC) code has been publicly disclosed at the time of writing. There are no indications of active exploitation campaigns targeting this vulnerability. The NVD and CISA databases reflect the publication date.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H6.5MEDIUMAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityNoneRisiko der Offenlegung sensibler DatenIntegrityNoneRisiko nicht autorisierter DatenänderungAvailabilityHighRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Keine — kein Vertraulichkeitseinfluss.
Integrity
Keine — kein Integritätseinfluss.
Availability
Hoch — vollständiger Absturz oder Ressourcenerschöpfung. Totaler Denial of Service.

Betroffene Software

Komponentenautobot
Herstellerosv
Höchstversion3.1.1
Behoben in3.1.2

Zeitleiste

  1. Veröffentlicht

Mitigation und Workaroundswird übersetzt…

The recommended mitigation for CVE-2026-44796 is to upgrade to Nautobot version 3.1.2 or later. This version introduces a general-purpose timeout to the affected endpoints, preventing regular expression evaluation from continuing indefinitely. If upgrading is not immediately feasible, consider restricting access to the /dcim/interfaces/rename/ and similar endpoints to trusted users only. While a direct workaround isn't available, careful input validation on the find field could offer limited protection, but is not a substitute for patching. After upgrading, confirm the fix by attempting to trigger the vulnerability with a known malicious regular expression and verifying that the request times out as expected.

So behebenwird übersetzt…

Kein offizieller Patch verfügbar. Prüfe auf Workarounds oder überwache auf Updates.

Häufig gestellte Fragenwird übersetzt…

What is CVE-2026-44796 — DoS in Nautobot?

CVE-2026-44796 is a Denial of Service vulnerability in Nautobot affecting versions up to 3.1.1. It allows attackers to cause a denial of service by exploiting regular expression handling in UI bulk-rename endpoints.

Am I affected by CVE-2026-44796 in Nautobot?

You are affected if you are running Nautobot version 3.1.1 or earlier. The vulnerability lies in how the application handles regular expressions in specific UI endpoints.

How do I fix CVE-2026-44796 in Nautobot?

Upgrade to Nautobot version 3.1.2 or later. This version includes a timeout mechanism to prevent indefinite regular expression evaluation and mitigate the DoS vulnerability.

Is CVE-2026-44796 being actively exploited?

There are currently no public reports or indications of active exploitation campaigns targeting CVE-2026-44796.

Where can I find the official Nautobot advisory for CVE-2026-44796?

Refer to the Nautobot security advisories page for the latest information and official announcements regarding CVE-2026-44796: [https://nautobot.io/security/](https://nautobot.io/security/)

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
Python

Erkenne diese CVE in deinem Projekt

Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.

requirements.txt hochladenUnterstützte Formate: requirements.txt · Pipfile.lock
liveKostenloser Scan

Scannen Sie jetzt Ihr Python-Projekt – kein Konto

Laden Sie Ihr requirements.txt hoch und erhalten Sie den Schwachstellenbericht sofort. Kein Konto. Das Hochladen der Datei ist nur der Anfang: mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack-/E-Mail-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...