CVE-2025-58180

Nome do Software Vulnerável e Versões Afetadas: Versões do OctoPrint anteriores a 1.11.3

Descrição: O OctoPrint é uma interface web para controlar impressoras 3D de consumo. Versões até e incluindo a 1.11.2 são suscetíveis a uma falha que permite a um atacante autenticado fazer upload de um arquivo com um nome de arquivo especialmente elaborado. Isso pode levar à execução arbitrária de comandos se o nome do arquivo estiver incluído em um comando definido dentro de um manipulador de eventos do sistema e esse evento for acionado. Se nenhum manipulador de eventos executando comandos do sistema com nomes de arquivos enviados como parâmetros tiver sido configurado, este problema não tem impacto.

Recomendações: Versões do OctoPrint anteriores a 1.11.3: Desative manipuladores de eventos que incluam placeholders baseados em nome de arquivo definindo sua propriedade enabled como False ou desmarcando a caixa de seleção "Enabled" no Gerenciador de Eventos baseado em Interface Gráfica. Versões do OctoPrint anteriores a 1.11.3: Defina feature.enforceReallyUniversalFilenames como true em config.yaml e reinicie o OctoPrint, em seguida, verifique os uploads existentes e exclua quaisquer arquivos suspeitos. Versões do OctoPrint anteriores a 1.11.3: Evite expor o OctoPrint em redes hostis e restrinja o acesso a usuários autorizados.