CVE-2026-23892 in OctoPrint
Sumário
de VulDB • 09/07/2026
O OctoPrint fornece uma interface web para o controle de impressoras 3D domésticas. As versões do OctoPrint até a 1.11.5 (incluída) são afetadas por uma vulnerabilidade de ataque de tempo (teórico) que permite a extração da chave API pela rede. Devido ao uso de comparação baseada em caracteres, que realiza curto-circuito no primeiro caractere incompatível durante a validação da chave API, em vez de um método criptográfico com tempo de execução estático independentemente do ponto de incompatibilidade, um atacante com acesso baseado na rede a uma instância OctoPrint afetada poderia extrair chaves API válidas para aquela instância medindo os tempos de resposta das respostas de acesso negado e adivinhando a chave API caractere por caractere. A vulnerabilidade foi corrigida na versão 1.11.6. A probabilidade desse ataque funcionar realmente depende altamente da latência, do ruído e de parâmetros semelhantes da rede. Até o momento, não foi possível obter um proof of concept real. Ainda assim, como sempre, recomenda-se aos administradores que não exponham sua instância OctoPrint em redes hostis, especialmente na Internet pública.
If you want to get best quality of vulnerability data, you may have to visit VulDB.