CVE-2026-23892 in OctoPrintالمعلومات

الملخص

بحسب VulDB • 07/07/2026

توفر OctoPrint واجهة ويب للتحكم في طابعات ثلاثية الأبعاد مخصصة للمستهلكين. تتأثر إصدارات OctoPrint حتى الإصدار 1.11.5 (شاملاً) بثغرة هجوم توقيتي (نظري) تسمح باستخراج مفاتيح API عبر الشبكة. ونظراً لاستخدام مقارنة تعتمد على الأحرف والتي تقصر التنفيذ عند أول حرف غير متطابق أثناء التحقق من صحة مفتاح API، بدلاً من استخدام طريقة تشفيرية ذات زمن تشغيل ثابت بغض النظر عن نقطة عدم التطابق، يمكن لمهاجم لديه وصول قائم على الشبكة إلى نسخة OctoPrint المتأثرة استخراج مفاتيح API صالحة للنسخة عن طريق قياس أوقات استجابة ردود رفض الوصول وتخمين مفتاح API حرفاً تلو الآخر. تم إصلاح الثغرة في الإصدار 1.11.6. وتعتمد احتمالية نجاح هذا الهجوم فعلياً بشكل كبير على زمن التأخير (Latency) والضوضاء الشبكية ومعلمات مماثلة. ولم يتم تحقيق نموذج استغلال عملي حتى الآن. ومع ذلك، وكالعادة، يُنصح المشرفون بعدم تعريض نسخة OctoPrint الخاصة بهم للشبكات المعادية، ولا سيما الإنترنت العام.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

16/01/2026

إفشاء

27/01/2026

الاعتدال

تمت الموافقة

إدخال

VDB-343088

EPSS

0.00475

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!