Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en OctoPrint (CVE-2026-23892)

Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/01/2026
Última modificación:
02/02/2026

Descripción

OctoPrint proporciona una interfaz web para controlar impresoras 3D de consumo. Las versiones de OctoPrint hasta la 1.11.5 inclusive están afectadas por una vulnerabilidad (teórica) de ataque de temporización que permite la extracción de claves API a través de la red. Debido al uso de una comparación basada en caracteres que se interrumpe en el primer carácter no coincidente durante la validación de la clave API, en lugar de un método criptográfico con tiempo de ejecución estático independientemente del punto de no coincidencia, un atacante con acceso basado en red a una instancia de OctoPrint afectada podría extraer claves API válidas en la instancia midiendo los tiempos de respuesta de las respuestas de acceso denegado y adivinar una clave API carácter por carácter. La vulnerabilidad está parcheada en la versión 1.11.6. La probabilidad de que este ataque funcione realmente depende en gran medida de la latencia, el ruido y parámetros similares de la red. Una prueba de concepto real no se ha logrado hasta ahora. Aun así, como siempre, se aconseja a los administradores que no expongan su instancia de OctoPrint en redes hostiles, especialmente no en la Internet pública.

Impacto

Vector 4.0
CVSS:4.0/AV:A/AC:H/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.00 MEDIA
Vector: CVSS:4.0/AV:A/AC:H/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
6.00
Gravedad 4.0
MEDIA
Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.90 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:octoprint:octoprint:*:*:*:*:*:*:*:* 1.11.6 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información