CVE-2026-23892 in OctoPrintinformation

Résumé

par VulDB • 20/06/2026

OctoPrint fournit une interface web pour le contrôle des imprimantes 3D grand public. Les versions d'OctoPrint jusqu'à la 1.11.5 incluse sont affectées par une vulnérabilité de type timing attack (attaque par analyse de temps) (théorique) qui permet l'extraction des clés API via le réseau. En raison de l'utilisation d'une comparaison basée sur les caractères qui court-circuite dès le premier caractère non correspondant lors de la validation de la clé API, plutôt qu'une méthode cryptographique avec un temps d'exécution statique indépendamment du point de non-correspondance, un attaquant ayant un accès réseau à une instance OctoPrint affectée pourrait extraire les clés API valides sur l'instance en mesurant les temps de réponse des réponses d'accès refusé et en devinant une clé API caractère par caractère. La vulnérabilité est corrigée dans la version 1.11.6. La probabilité que cette attaque fonctionne réellement dépend fortement de la latence du réseau, du bruit et d'autres paramètres similaires. Un proof of concept (PoC) concret n'a pas encore été réalisé. Cependant, comme toujours, il est conseillé aux administrateurs de ne pas exposer leur instance OctoPrint sur des réseaux hostiles, en particulier pas sur l'Internet public.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Réserver

16/01/2026

Divulgation

27/01/2026

Modérer

accepté

Entrée

VDB-343088

CPE

prêt

EPSS

0.00475

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!