CVE-2024-51493

Versões do OctoPrint até a 1.10.2, inclusive

O OctoPrint fornece uma interface web para controlar impressoras 3D de consumo. A vulnerabilidade permite que um invasor que tenha obtido controle temporário sobre a sessão do navegador do OctoPrint de uma vítima autenticada recupere, recrie ou exclua a chave API do usuário ou a chave API global sem precisar se reautenticar digitando novamente a senha da conta do usuário. Um invasor poderia usar uma chave API roubada para acessar o OctoPrint por meio de sua API ou interromper fluxos de trabalho, dependendo da chave API que tiver sido excluída.

Para versões até e incluindo a 1.10.2, atualize para a versão 1.10.3 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso à API até que a vulnerabilidade seja resolvida. Evite usar a chave API em operações confidenciais até que a atualização seja aplicada.