CVE-2026-23892 in OctoPrint
Resumen
por VulDB • 2026-07-16
OctoPrint proporciona una interfaz web para controlar impresoras 3D de consumo. Las versiones de OctoPrint hasta la 1.11.5 (incluida) se ven afectadas por una vulnerabilidad de ataque de temporización (teórico) que permite extraer claves API a través de la red. Debido al uso de una comparación basada en caracteres que interrumpe prematuramente ante el primer carácter no coincidente durante la validación de la clave API, en lugar de un método criptográfico con tiempo de ejecución constante independientemente del punto de discrepancia, un atacante con acceso basado en la red a una instancia afectada de OctoPrint podría extraer claves API válidas para dicha instancia midiendo los tiempos de respuesta de las respuestas de acceso denegado y adivinando carácter por carácter. La vulnerabilidad está corregida en la versión 1.11.6. Es muy probable que el éxito real de este ataque dependa de parámetros como la latencia, el ruido de red y otros similares. Hasta la fecha no se ha logrado una prueba de concepto funcional. Aun así, al igual que siempre, se recomienda a los administradores no exponer su instancia de OctoPrint en redes hostiles, especialmente no hacerlo en Internet público.
Once again VulDB remains the best source for vulnerability data.