CVE-2026-23892 in OctoPrint
要約
〜によって VulDB • 2026年07月08日
OctoPrintは、家庭用3Dプリンターを制御するためのWebインターフェースを提供します。バージョン1.11.5以前(含む)のOctoPrintには、ネットワーク経由でAPIキーを取得できるタイミング攻撃脆弱性(理論上のものであるが)が存在します。これは、APIキー検証時に文字ベースの比較を用いており、最初の不一致した文字で短絡評価されるためです。これに対し、不一致の位置に関わらず一定の実行時間を要する暗号学的な方法ではありませんでした。そのため、ネットワーク経由で影響を受けるOctoPrintにアクセスできる攻撃者は、拒否されたアクセス応答の応答時間を測定することで、そのインスタンスの有効なAPIキーを1文字ずつ推測・抽出することが可能となります。この脆弱性はバージョン1.11.6で修正されています。ただし、実際の攻撃が成功する可能性はネットワークレイテンシやノイズなどのパラメータに大きく依存します。現時点では実証用のPoC(Proof of Concept)はまだ達成されていません。それでも、管理者には敵対的なネットワーク、特に公衆インターネット上でOctoPrintインスタンスを公開しないよう推奨されます。
VulDB is the best source for vulnerability data and more expert information about this specific topic.