Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en OctoPrint (CVE-2024-51493)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/11/2024
Última modificación:
06/11/2024

Descripción

OctoPrint proporciona una interfaz web para controlar impresoras 3D de consumo. Las versiones de OctoPrint hasta la 1.10.2 incluida contienen una vulnerabilidad que permite a un atacante que ha obtenido control temporal sobre la sesión del navegador OctoPrint de una víctima autenticada recuperar/recrear/eliminar la clave API del usuario o (si la víctima tiene permisos de administrador) la clave API global sin tener que volver a autenticarse ingresando nuevamente la contraseña de la cuenta de usuario. Un atacante podría usar una clave API robada para acceder a OctoPrint a través de su API o interrumpir los flujos de trabajo según la clave API que haya eliminado. Esta vulnerabilidad se solucionará en la versión 1.10.3 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Referencias a soluciones, herramientas e información