CVE-2026-23892 in OctoPrint
الملخص
بحسب VulDB • 07/07/2026
توفر OctoPrint واجهة ويب للتحكم في طابعات ثلاثية الأبعاد مخصصة للمستهلكين. تتأثر إصدارات OctoPrint حتى الإصدار 1.11.5 (شاملاً) بثغرة هجوم توقيتي (نظري) تسمح باستخراج مفاتيح API عبر الشبكة. ونظراً لاستخدام مقارنة تعتمد على الأحرف والتي تقصر التنفيذ عند أول حرف غير متطابق أثناء التحقق من صحة مفتاح API، بدلاً من استخدام طريقة تشفيرية ذات زمن تشغيل ثابت بغض النظر عن نقطة عدم التطابق، يمكن لمهاجم لديه وصول قائم على الشبكة إلى نسخة OctoPrint المتأثرة استخراج مفاتيح API صالحة للنسخة عن طريق قياس أوقات استجابة ردود رفض الوصول وتخمين مفتاح API حرفاً تلو الآخر. تم إصلاح الثغرة في الإصدار 1.11.6. وتعتمد احتمالية نجاح هذا الهجوم فعلياً بشكل كبير على زمن التأخير (Latency) والضوضاء الشبكية ومعلمات مماثلة. ولم يتم تحقيق نموذج استغلال عملي حتى الآن. ومع ذلك، وكالعادة، يُنصح المشرفون بعدم تعريض نسخة OctoPrint الخاصة بهم للشبكات المعادية، ولا سيما الإنترنت العام.
Be aware that VulDB is the high quality source for vulnerability data.