一、 漏洞 CVE-2025-62607 基础信息
漏洞信息
# Nautobot SSoT 未认证ServiceNow配置漏洞
## 概述
Nautobot Single Source of Truth (SSoT) 是 Nautobot 的一个应用程序。在版本 3.10.0 之前,存在一个信息泄露漏洞,允许未经身份验证的攻击者访问特定页面,从而查看配置中的 ServiceNow 公共实例名称(例如 `companyname.service-now.com`)。
## 影响版本
- 所有版本低于 3.10.0 的 Nautobot SSoT。
## 漏洞细节
- **泄露信息**:攻击者可查看 ServiceNow 的公共实例名称。
- **未泄露内容**:该漏洞不会暴露敏感凭证,包括 Secret、Secret 名称、用户名或密码。
- **权限限制**:
- 未认证用户无法修改实例名称。
- 无法设置或更改 Secret。
- 无法通过该页面访问 Nautobot 的其他页面。
## 影响
由于泄露的信息仅限于 ServiceNow 实例名称(属于低价值信息),且不涉及敏感凭证或进一步访问权限,因此该漏洞风险等级较低。
## 修复版本
漏洞已在 **Nautobot SSoT 3.10.0** 中修复。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-62607 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-62607 的情报信息
-
标题: Release Release v3.10.0 - 2025-10-21 · nautobot/nautobot-app-ssot · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: Unauthenticated ServiceNow configuration URL · Advisory · nautobot/nautobot-app-ssot · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: Component UI and UIViewSet changes (#991) · nautobot/nautobot-app-ssot@1530d25 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-62607
四、漏洞 CVE-2025-62607 的评论
暂无评论