CVE-2024-28237

Versões do OctoPrint até a 1.9.3, inclusive

O OctoPrint fornece uma interface web para controlar impressoras 3D de consumo. A vulnerabilidade permite que administradores mal-intencionados configurem ou convençam uma vítima com direitos de administrador a configurar uma URL de captura de tela da webcam que, quando testada através do botão “Testar” incluído na interface web, executará código JavaScript no navegador da vítima ao tentar renderizar a imagem da captura de tela. Um invasor que consiga convencer uma vítima com direitos de administrador a realizar um teste de captura de tela com tal URL maliciosa poderia usar isso para recuperar ou modificar configurações confidenciais, interromper impressões ou interagir de outra forma com a instância do OctoPrint de maneira maliciosa.

Para versões até e incluindo a 1.9.3, atualize para a versão 1.10.0 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso à configuração da URL de captura de tela da webcam para impedir configurações maliciosas.

Recomenda-se enfaticamente que os administradores do OctoPrint verifiquem minuciosamente quem tem acesso de administrador à sua instalação e quais configurações são modificadas com base em instruções de desconhecidos.