Vulnerabilidad en OctoPrint (CVE-2024-49377)

OctoPrint proporciona una interfaz web para controlar impresoras 3D de consumo. Las versiones de OctoPrint hasta la 1.10.2 incluida contienen vulnerabilidades XSS reflejadas en el cuadro de diálogo de inicio de sesión y en el cuadro de diálogo de confirmación de clave de aplicación independiente. Un atacante que haya logrado convencer a una víctima para que haga clic en un enlace de inicio de sesión especialmente manipulado, o una aplicación maliciosa que se ejecute en la computadora de una víctima que active el workflow de clave de aplicación con parámetros especialmente manipulados y luego redirija a la víctima al cuadro de diálogo de confirmación independiente relacionado, podría usar esto para recuperar o modificar configuraciones confidenciales, interrumpir impresiones o interactuar de otro modo con la instancia de OctoPrint de forma maliciosa. Las vulnerabilidades específicas mencionadas anteriormente del cuadro de diálogo de inicio de sesión y del cuadro de diálogo de confirmación de clave de aplicación independiente se han corregido en la versión de corrección de errores 1.10.3 mediante el escape individual de las ubicaciones detectadas. Un cambio global en todo el sistema de plantillas de OctoPrint con la próxima versión 1.11.0 se ocupará de esto aún más, cambiando a un escape automático aplicado globalmente y, por lo tanto, reduciendo la superficie de ataque en general. Este último aspecto también mejorará la seguridad de los complementos de terceros. Durante un período de transición, los complementos de terceros podrán optar por el escape automático. Con OctoPrint 1.13.0, el escape automático se implementará incluso para complementos de terceros, a menos que opten por no hacerlo explícitamente.