CVE-2025-48879

Nome do Software Vulnerável e Versões Afetadas Versões do OctoPrint até e incluindo a 1.11.1

Descrição A falha permite que qualquer atacante não autenticado envie uma requisição multipart/form-data manipulada e quebrada para o OctoPrint, fazendo com que o componente do servidor web fique sem resposta. Isso pode ser desencadeado por uma requisição quebrada que carece de um delimitador final em qualquer um dos endpoints do OctoPrint implementados através do manipulador de requisições octoprint.server.util.tornado.UploadStorageFallbackHandler. O manipulador de requisições ficará preso em um loop ocupado infinito, buscando por uma parte da requisição que nunca chegará, bloqueando efetivamente todo o servidor web devido ao Tornado ser single-threaded.

Recomendações Para versões até e incluindo a 1.11.1, atualize para a versão 1.11.2 para resolver a falha. Como uma solução temporária, considere restringir o acesso aos endpoints que utilizam o manipulador de requisições octoprint.server.util.tornado.UploadStorageFallbackHandler até que a atualização possa ser aplicada.