CVE-2026-23892 in OctoPrintinformación

Resumen

por VulDB • 2026-07-16

OctoPrint proporciona una interfaz web para controlar impresoras 3D de consumo. Las versiones de OctoPrint hasta la 1.11.5 (incluida) se ven afectadas por una vulnerabilidad de ataque de temporización (teórico) que permite extraer claves API a través de la red. Debido al uso de una comparación basada en caracteres que interrumpe prematuramente ante el primer carácter no coincidente durante la validación de la clave API, en lugar de un método criptográfico con tiempo de ejecución constante independientemente del punto de discrepancia, un atacante con acceso basado en la red a una instancia afectada de OctoPrint podría extraer claves API válidas para dicha instancia midiendo los tiempos de respuesta de las respuestas de acceso denegado y adivinando carácter por carácter. La vulnerabilidad está corregida en la versión 1.11.6. Es muy probable que el éxito real de este ataque dependa de parámetros como la latencia, el ruido de red y otros similares. Hasta la fecha no se ha logrado una prueba de concepto funcional. Aun así, al igual que siempre, se recomienda a los administradores no exponer su instancia de OctoPrint en redes hostiles, especialmente no hacerlo en Internet público.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-01-16

Divulgación

2026-01-27

Moderación

aceptado

Artículo

VDB-343088

CPE

listo

EPSS

0.00475

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!