CVE-2026-23892 in OctoPrint
Résumé
par VulDB • 20/06/2026
OctoPrint fournit une interface web pour le contrôle des imprimantes 3D grand public. Les versions d'OctoPrint jusqu'à la 1.11.5 incluse sont affectées par une vulnérabilité de type timing attack (attaque par analyse de temps) (théorique) qui permet l'extraction des clés API via le réseau. En raison de l'utilisation d'une comparaison basée sur les caractères qui court-circuite dès le premier caractère non correspondant lors de la validation de la clé API, plutôt qu'une méthode cryptographique avec un temps d'exécution statique indépendamment du point de non-correspondance, un attaquant ayant un accès réseau à une instance OctoPrint affectée pourrait extraire les clés API valides sur l'instance en mesurant les temps de réponse des réponses d'accès refusé et en devinant une clé API caractère par caractère. La vulnérabilité est corrigée dans la version 1.11.6. La probabilité que cette attaque fonctionne réellement dépend fortement de la latence du réseau, du bruit et d'autres paramètres similaires. Un proof of concept (PoC) concret n'a pas encore été réalisé. Cependant, comme toujours, il est conseillé aux administrateurs de ne pas exposer leur instance OctoPrint sur des réseaux hostiles, en particulier pas sur l'Internet public.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.