CVE-2024-49377

Versões do OctoPrint até a 1.10.2, inclusive

O OctoPrint fornece uma interface web para controlar impressoras 3D de consumo. O software contém vulnerabilidades XSS refletidas na caixa de diálogo de login e na caixa de diálogo de confirmação da chave do aplicativo autônomo. Um invasor poderia usar isso para recuperar ou modificar configurações confidenciais, interromper impressões ou interagir de outra forma com a instância do OctoPrint de maneira maliciosa, induzindo a vítima a clicar em um link de login especialmente criado ou acionando o fluxo de trabalho da chave do aplicativo com parâmetros especialmente criados.

Para versões até e incluindo a 1.10.2, atualize para a versão 1.10.3 ou posterior para corrigir as vulnerabilidades específicas da caixa de diálogo de login e da caixa de diálogo de confirmação da chave do aplicativo autônomo.

Como solução temporária, considere restringir o acesso à caixa de diálogo de login e à caixa de diálogo de confirmação da chave do aplicativo autônomo até que uma correção esteja disponível.

Com o lançamento do OctoPrint 1.11.0, mude para o escapamento automático aplicado globalmente para reduzir a superfície de ataque em geral.

Para plug-ins de terceiros, opte pelo escapamento automático durante o período de transição para melhorar a segurança.

A partir do OctoPrint 1.13.0, certifique-se de que o escapamento automático seja aplicado a todos os plug-ins, a menos que eles optem explicitamente por não participar.