PT-2024-25024 · Octoprint · Octoprint
Jacopotediosi
·
Publicado
2024-05-14
·
Atualizado
2024-05-14
·
CVE-2024-32977
CVSS v3.1
9.4
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do OctoPrint até a 1.10.0, inclusive
Descrição
O OctoPrint fornece uma interface web para controlar impressoras 3D de consumo. A vulnerabilidade permite que um invasor não autenticado contorne a autenticação se a opção
autologinLocal estiver habilitada no arquivo config.yaml, mesmo que venha de redes que não estejam configuradas como localNetworks, falsificando seu IP por meio do cabeçalho X-Forwarded-For. Esta vulnerabilidade não tem qualquer impacto se o autologin não estiver habilitado.Recomendações
Para versões do OctoPrint até e incluindo a 1.10.0, atualize para a versão 1.10.1 para resolver o problema.
Como solução temporária, considere desativar a opção
autologinLocal no arquivo config.yaml até que um patch seja aplicado.Restrinja o acesso à instância a partir de redes potencialmente hostis, como a internet, para minimizar o risco de exploração.
Exploit
Correção
Authentication Bypass by Spoofing
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Octoprint