Escanear grátis
HIGHCVE-2026-44798CVSS 7.1

CVE-2026-44798: GitRepository Manipulation in Nautobot

Plataforma

python

Componente

nautobot

Corrigido em

3.1.2

Ver no NVD
Salvar
Traduzindo para o seu idioma…

CVE-2026-44798 is a security vulnerability affecting Nautobot versions up to 3.1.1. It allows a user with permissions to modify GitRepository records to directly manipulate the current_head field via the REST API. This manipulation can lead to misleading repository state or even prevent Nautobot from utilizing the repository, requiring manual remediation.

Python

Detecte esta CVE no seu projeto

Envie seu arquivo requirements.txt e descubra na hora se você está afetado.

Enviar requirements.txtFormatos suportados: requirements.txt · Pipfile.lock

Impacto e Cenários de Ataquetraduzindo…

The primary impact of CVE-2026-44798 is the potential for disruption and misrepresentation of repository data within Nautobot. An attacker who can add or modify GitRepository records can maliciously set the current_head field to point to a non-existent commit hash or an invalid value. This can effectively break Nautobot's ability to track the correct state of the repository, leading to incorrect data being displayed or used in workflows. While not a direct data breach, the manipulation of repository state can have significant operational consequences, potentially impacting deployments and automation processes. The blast radius is limited to the affected Nautobot instance and its associated repositories.

Contexto de Exploraçãotraduzindo…

CVE-2026-44798 was published on May 13, 2026. Its CVSS score is 7.1 (HIGH). There are currently no publicly known proof-of-concept exploits. The vulnerability is not listed on KEV or EPSS, suggesting a low to medium probability of exploitation. Active campaigns are not currently known.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H7.1HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredLowNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityNoneRisco de exposição de dados sensíveisIntegrityLowRisco de modificação não autorizada de dadosAvailabilityHighRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Baixo — qualquer conta de usuário válida é suficiente.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Nenhum — sem impacto na confidencialidade.
Integrity
Baixo — o atacante pode modificar alguns dados com alcance limitado.
Availability
Alto — falha completa ou esgotamento de recursos. Negação de serviço total.

Software Afetado

Componentenautobot
Fornecedorosv
Versão máxima3.1.1
Corrigido em3.1.2

Linha do tempo

  1. Publicada

Mitigação e Soluções Alternativastraduzindo…

The recommended mitigation for CVE-2026-44798 is to upgrade to Nautobot version 3.1.2 or later, which includes the fix. If an immediate upgrade is not possible, consider restricting access to the GitRepository record modification functionality to only authorized personnel. Implement strict input validation on the currenthead field within the REST API to prevent the setting of invalid or unexpected values. Regularly audit GitRepository records for any suspicious changes. After upgrade, confirm by verifying the currenthead field on several GitRepository records reflects the expected latest commit.

Como corrigirtraduzindo…

Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.

Perguntas frequentestraduzindo…

What is CVE-2026-44798 — GitRepository Manipulation in Nautobot?

CVE-2026-44798 is a HIGH severity vulnerability in Nautobot versions ≤3.1.1 that allows unauthorized modification of the current_head field in GitRepository records, potentially disrupting repository access or providing misleading state.

Am I affected by CVE-2026-44798 in Nautobot?

You are affected if you are running Nautobot version 3.1.1 or earlier. Check your version and upgrade as soon as possible to mitigate the risk.

How do I fix CVE-2026-44798 in Nautobot?

Upgrade to Nautobot version 3.1.2 or later. If immediate upgrade is not possible, restrict access to GitRepository modification and implement input validation.

Is CVE-2026-44798 being actively exploited?

Currently, there are no publicly known active exploitation campaigns or proof-of-concept exploits for CVE-2026-44798.

Where can I find the official Nautobot advisory for CVE-2026-44798?

Refer to the official Nautobot security advisory for detailed information and updates regarding CVE-2026-44798: [https://nautobot.io/security/advisories/](https://nautobot.io/security/advisories/)

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
Python

Detecte esta CVE no seu projeto

Envie seu arquivo requirements.txt e descubra na hora se você está afetado.

Enviar requirements.txtFormatos suportados: requirements.txt · Pipfile.lock
ao vivoverificação gratuita

Escaneie seu projeto Python agora — sem conta

Envie seu requirements.txt e receba o relatório de vulnerabilidades instantaneamente. Sem conta. Enviar o arquivo é só o começo: com uma conta você obtém monitoramento contínuo, alertas por Slack/e-mail, relatórios multi-projeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...