Escanear gratis
HIGHCVE-2026-44798CVSS 7.1

CVE-2026-44798: GitRepository Manipulation in Nautobot

Plataforma

python

Componente

nautobot

Corregido en

3.1.2

Ver en NVD
Guardar
Traduciendo a tu idioma…

CVE-2026-44798 is a security vulnerability affecting Nautobot versions up to 3.1.1. It allows a user with permissions to modify GitRepository records to directly manipulate the current_head field via the REST API. This manipulation can lead to misleading repository state or even prevent Nautobot from utilizing the repository, requiring manual remediation.

Python

Detecta esta CVE en tu proyecto

Sube tu archivo requirements.txt y te decimos al instante si estás afectado.

Subir requirements.txtFormatos soportados: requirements.txt · Pipfile.lock

Impacto y Escenarios de Ataquetraduciendo…

The primary impact of CVE-2026-44798 is the potential for disruption and misrepresentation of repository data within Nautobot. An attacker who can add or modify GitRepository records can maliciously set the current_head field to point to a non-existent commit hash or an invalid value. This can effectively break Nautobot's ability to track the correct state of the repository, leading to incorrect data being displayed or used in workflows. While not a direct data breach, the manipulation of repository state can have significant operational consequences, potentially impacting deployments and automation processes. The blast radius is limited to the affected Nautobot instance and its associated repositories.

Contexto de Explotacióntraduciendo…

CVE-2026-44798 was published on May 13, 2026. Its CVSS score is 7.1 (HIGH). There are currently no publicly known proof-of-concept exploits. The vulnerability is not listed on KEV or EPSS, suggesting a low to medium probability of exploitation. Active campaigns are not currently known.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H7.1HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityNoneRiesgo de exposición de datos sensiblesIntegrityLowRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Ninguno — sin impacto en confidencialidad.
Integrity
Bajo — el atacante puede modificar algunos datos con alcance limitado.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentenautobot
Proveedorosv
Versión máxima3.1.1
Corregido en3.1.2

Cronología

  1. Publicada

Mitigación y Workaroundstraduciendo…

The recommended mitigation for CVE-2026-44798 is to upgrade to Nautobot version 3.1.2 or later, which includes the fix. If an immediate upgrade is not possible, consider restricting access to the GitRepository record modification functionality to only authorized personnel. Implement strict input validation on the currenthead field within the REST API to prevent the setting of invalid or unexpected values. Regularly audit GitRepository records for any suspicious changes. After upgrade, confirm by verifying the currenthead field on several GitRepository records reflects the expected latest commit.

Cómo corregirlotraduciendo…

Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.

Preguntas frecuentestraduciendo…

What is CVE-2026-44798 — GitRepository Manipulation in Nautobot?

CVE-2026-44798 is a HIGH severity vulnerability in Nautobot versions ≤3.1.1 that allows unauthorized modification of the current_head field in GitRepository records, potentially disrupting repository access or providing misleading state.

Am I affected by CVE-2026-44798 in Nautobot?

You are affected if you are running Nautobot version 3.1.1 or earlier. Check your version and upgrade as soon as possible to mitigate the risk.

How do I fix CVE-2026-44798 in Nautobot?

Upgrade to Nautobot version 3.1.2 or later. If immediate upgrade is not possible, restrict access to GitRepository modification and implement input validation.

Is CVE-2026-44798 being actively exploited?

Currently, there are no publicly known active exploitation campaigns or proof-of-concept exploits for CVE-2026-44798.

Where can I find the official Nautobot advisory for CVE-2026-44798?

Refer to the official Nautobot security advisory for detailed information and updates regarding CVE-2026-44798: [https://nautobot.io/security/advisories/](https://nautobot.io/security/advisories/)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
Python

Detecta esta CVE en tu proyecto

Sube tu archivo requirements.txt y te decimos al instante si estás afectado.

Subir requirements.txtFormatos soportados: requirements.txt · Pipfile.lock
liveescaneo gratuito

Escanea tu proyecto Python ahora — sin cuenta

Sube tu requirements.txt y recibís el reporte de vulnerabilidades al instante. Sin cuenta. Subir el archivo es solo el inicio: con una cuenta tenés monitoreo continuo, alertas en Slack/email, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...