Jacopotediosi

**Nome do Software Vulnerável e Versões Afetadas** Versões do OctoPrint até e incluindo a 1.11.1 **Descrição** A falha afeta uma interface web para controle de impressoras 3D de consumo, permitindo que um atacante com a permissão `FILE UPLOAD` exfiltre arquivos do host ao movê-los para a pasta de upload, de onde podem ser baixados. **Recomendações** Para as versões até e incluindo a 1.11.1, atualize para a versão 1.11.2 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OctoPrint até e incluindo a 1.11.1 **Descrição** A falha permite que qualquer atacante não autenticado envie uma requisição multipart/form-data manipulada e quebrada para o OctoPrint, fazendo com que o componente do servidor web fique sem resposta. Isso pode ser desencadeado por uma requisição quebrada que carece de um delimitador final em qualquer um dos endpoints do OctoPrint implementados através do manipulador de requisições `octoprint.server.util.tornado.UploadStorageFallbackHandler`. O manipulador de requisições ficará preso em um loop ocupado infinito, buscando por uma parte da requisição que nunca chegará, bloqueando efetivamente todo o servidor web devido ao Tornado ser single-threaded. **Recomendações** Para versões até e incluindo a 1.11.1, atualize para a versão 1.11.2 para resolver a falha. Como uma solução temporária, considere restringir o acesso aos endpoints que utilizam o manipulador de requisições `octoprint.server.util.tornado.UploadStorageFallbackHandler` até que a atualização possa ser aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OctoPrint até e incluindo a 1.10.3 **Descrição** O OctoPrint fornece uma interface web para controlar impressoras 3D de consumo. A falha permite que um invasor contorne o redirecionamento de login e acesse diretamente o HTML renderizado de determinadas páginas de frontend. O principal risco reside em potenciais modificações futuras na base de código que possam depender incorretamente das funções internas vulneráveis para verificações de autenticação, levando a problemas de segurança. **Recomendações** Para versões até e incluindo a 1.10.3, atualize para a versão 1.11.0 para corrigir a falha.

**Nome do software vulnerável e versões afetadas** Versões do OctoPrint até a 1.10.2, inclusive **Descrição** O OctoPrint fornece uma interface web para controlar impressoras 3D de consumo. A vulnerabilidade permite que um invasor que tenha obtido controle temporário sobre a sessão do navegador do OctoPrint de uma vítima autenticada recupere, recrie ou exclua a chave API do usuário ou a chave API global sem precisar se reautenticar digitando novamente a senha da conta do usuário. Um invasor poderia usar uma chave API roubada para acessar o OctoPrint por meio de sua API ou interromper fluxos de trabalho, dependendo da chave API que tiver sido excluída. **Recomendações** Para versões até e incluindo a 1.10.2, atualize para a versão 1.10.3 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso à API até que a vulnerabilidade seja resolvida. Evite usar a chave API em operações confidenciais até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do OctoPrint até a 1.10.2, inclusive **Descrição** O OctoPrint fornece uma interface web para controlar impressoras 3D de consumo. O software contém vulnerabilidades XSS refletidas na caixa de diálogo de login e na caixa de diálogo de confirmação da chave do aplicativo autônomo. Um invasor poderia usar isso para recuperar ou modificar configurações confidenciais, interromper impressões ou interagir de outra forma com a instância do OctoPrint de maneira maliciosa, induzindo a vítima a clicar em um link de login especialmente criado ou acionando o fluxo de trabalho da chave do aplicativo com parâmetros especialmente criados. **Recomendações** Para versões até e incluindo a 1.10.2, atualize para a versão 1.10.3 ou posterior para corrigir as vulnerabilidades específicas da caixa de diálogo de login e da caixa de diálogo de confirmação da chave do aplicativo autônomo. Como solução temporária, considere restringir o acesso à caixa de diálogo de login e à caixa de diálogo de confirmação da chave do aplicativo autônomo até que uma correção esteja disponível. Com o lançamento do OctoPrint 1.11.0, mude para o escapamento automático aplicado globalmente para reduzir a superfície de ataque em geral. Para plug-ins de terceiros, opte pelo escapamento automático durante o período de transição para melhorar a segurança. A partir do OctoPrint 1.13.0, certifique-se de que o escapamento automático seja aplicado a todos os plug-ins, a menos que eles optem explicitamente por não participar.

**Nome do software vulnerável e versões afetadas** Versões do OctoPrint até a 1.10.0, inclusive **Descrição** O OctoPrint fornece uma interface web para controlar impressoras 3D de consumo. A vulnerabilidade permite que um invasor não autenticado contorne a autenticação se a opção `autologinLocal` estiver habilitada no arquivo `config.yaml`, mesmo que venha de redes que não estejam configuradas como `localNetworks`, falsificando seu IP por meio do cabeçalho `X-Forwarded-For`. Esta vulnerabilidade não tem qualquer impacto se o autologin não estiver habilitado. **Recomendações** Para versões do OctoPrint até e incluindo a 1.10.0, atualize para a versão 1.10.1 para resolver o problema. Como solução temporária, considere desativar a opção `autologinLocal` no arquivo `config.yaml` até que um patch seja aplicado. Restrinja o acesso à instância a partir de redes potencialmente hostis, como a internet, para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do OctoPrint até a 1.9.3, inclusive **Descrição** O OctoPrint fornece uma interface web para controlar impressoras 3D de consumo. A vulnerabilidade permite que administradores mal-intencionados configurem ou convençam uma vítima com direitos de administrador a configurar uma URL de captura de tela da webcam que, quando testada através do botão “Testar” incluído na interface web, executará código JavaScript no navegador da vítima ao tentar renderizar a imagem da captura de tela. Um invasor que consiga convencer uma vítima com direitos de administrador a realizar um teste de captura de tela com tal URL maliciosa poderia usar isso para recuperar ou modificar configurações confidenciais, interromper impressões ou interagir de outra forma com a instância do OctoPrint de maneira maliciosa. **Recomendações** Para versões até e incluindo a 1.9.3, atualize para a versão 1.10.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à configuração da URL de captura de tela da webcam para impedir configurações maliciosas. Recomenda-se enfaticamente que os administradores do OctoPrint verifiquem minuciosamente quem tem acesso de administrador à sua instalação e quais configurações são modificadas com base em instruções de desconhecidos.