Octoprint
Уязвимости
24
Эксплуатируемые
0
Макс. CVSS
9.4
Макс. EPSS
0.19313
Распределение по критичности
Критический
2
Высокий
5
Средний
17
Низкий
0
Также сопоставлено как (исходные строки): octoprint
Топ уязвимостей
CVE-2024-32977OctoPrint предоставляет веб-интерфейс для управления потребительскими 3D-принтерами. OctoPrint версий до 1.10.0 включительно содержит уязвимость, которая позволяет неаутентифицированному злоумышленнику полностью обойти аутентификацию, если в `config.yaml` включена опция `autologinLocal`, даже если они приходят из сетей, не настроенных как `localNetworks`, подменяя свой IP-адрес через заголовок `X-Forwarded-For`. Если автоматический вход в систему не включен, эта уязвимость не оказывает никакого влияния. Уязвимость была исправлена в версии 1.10.1. До тех пор, пока исправление не будет применено, администраторам OctoPrint, у которых включен автоматический вход в систему, следует отключить его и/или сделать экземпляр недоступным из потенциально враждебных сетей, таких как Интернет.
CVE-2018-16710OctoPrint до версии 1.3.9 позволяет удаленным злоумышленникам получать конфиденциальную информацию или вызывать отказ в обслуживании через HTTP-запросы на порт 8081. ПРИМЕЧАНИЕ: поставщик оспаривает значимость этого отчета, потому что в его документации указано, что при "слепой переадресации портов ... Вывод OctoPrint в публичный интернет - ужасная идея, и я не могу это достаточно подчеркнуть".
CVE-2022-3068Неправильное управление привилегиями в репозитории GitHub octoprint/octoprint до 1.8.3.
CVE-2022-2930Неподтвержденное изменение пароля в репозитории GitHub octoprint/octoprint до 1.8.3.
CVE-2025-58180OctoPrint предоставляет веб-интерфейс для управления потребительскими 3D-принтерами. Версии OctoPrint до 1.11.2 включительно содержат уязвимость, позволяющую аутентифицированному злоумышленнику загрузить файл под специальным образом сформированным именем, что приведет к выполнению произвольного кода, если это имя файла будет включено в команду, определенную в обработчике системных событий, и это событие будет вызвано. Если не настроены обработчики событий, выполняющие системные команды с именами загруженных файлов в качестве параметров, эта уязвимость не окажет влияния. Уязвимость исправлена в версии 1.11.3. В качестве обходного пути администраторы OctoPrint, у которых настроены обработчики событий, включающие заполнители на основе имен файлов, должны отключить их или установить `feature.enforceReallyUniversalFilenames` в `true` в `config.yaml` и перезапустить OctoPrint [1].
Источники:
- [1] https://github.com/OctoPrint/OctoPrint/security/advisories/GHSA-49mj-x8jp-qvfc
- [2] https://github.com/OctoPrint/OctoPrint/commit/be4201ef58d9a7c03593252398c16eada90a258b
- [3] https://github.com/OctoPrint/OctoPrint/commit/c3a940962f4658a8e035a00388781b1cbd768841
- [4] https://github.com/OctoPrint/OctoPrint/releases/tag/1.11.3
CVE-2022-2822Злоумышленник может свободно перебирать имя пользователя и пароль и может захватить любую учетную запись. Злоумышленник может легко угадать пароли пользователей и получить доступ к учетным записям пользователей и администраторов.
CVE-2022-1430Межсайтовый скриптинг (XSS) - DOM в репозитории GitHub octoprint/octoprint до версии 1.8.0.
CVE-2025-48879Уязвимости в OctoPrint версий до 1.11.1 включительно позволяют любому неаутентифицированному атакующему отправить манипулированный поврежденный запрос multipart/form-data в OctoPrint и через это сделать компонент веб-сервера неработоспособным. Проблема может быть вызвана поврежденным запросом multipart/form-data, в котором отсутствует конечная граница, для любого из конечных точек OctoPrint, реализованных через обработчик запросов octoprint.server.util.tornado.UploadStorageFallbackHandler. Обработчик запроса попадает в бесконечный цикл, ища часть запроса, которая никогда не придет. Поскольку Tornado является однопоточным, это фактически блокирует весь веб-сервер. Уязвимость была исправлена в версии 1.11.2 [1].
Источники:
- [1] https://github.com/OctoPrint/OctoPrint/security/advisories/GHSA-9wj4-8h85-pgrw
- [2] https://github.com/OctoPrint/OctoPrint/commit/c9c35c17bd820f19c6b12e6c0359fc0cfdd0c1ec
CVE-2024-51493OctoPrint предоставляет веб-интерфейс для управления потребительскими 3D-принтерами. OctoPrint версии до 1.10.2 включительно содержат уязвимость, которая позволяет злоумышленнику, получившему временный контроль над браузерной сессией аутентифицированной жертвы OctoPrint, извлекать/воссоздавать/удалять API-ключ пользователя или - если у жертвы есть права администратора - глобальный API-ключ без необходимости повторной аутентификации путем повторного ввода пароля учетной записи пользователя. Злоумышленник может использовать украденный API-ключ для доступа к OctoPrint через его API или нарушить рабочие процессы, зависящие от удаленного им API-ключа. Эта уязвимость будет исправлена в версии 1.10.3, и всем пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет.
CVE-2023-41047OctoPrint - это веб-интерфейс для 3D-принтеров. OctoPrint версии до 1.9.2 включительно содержат уязвимость, которая позволяет злонамеренным администраторам настраивать специально созданный GCODE-скрипт, который позволит выполнять код во время рендеринга этого скрипта. Злоумышленник может использовать это для извлечения данных, управляемых OctoPrint, или манипулирования данными, управляемыми OctoPrint, а также для выполнения произвольных команд с правами процесса OctoPrint в серверной системе. OctoPrint версии 1.9.3 и новее были исправлены. Администраторам экземпляров OctoPrint рекомендуется убедиться, что они могут доверять всем другим администраторам в своем экземпляре, а также не настраивать слепо произвольные GCODE-скрипты, найденные в Интернете или предоставленные им третьими сторонами.
CVE-2021-32560Подсистема ведения журналов в OctoPrint до версии 1.6.0 имеет некорректное управление доступом, поскольку пытается управлять файлами, которые не являются файлами *.log.
CVE-2022-1432Межсайтовый скриптинг (XSS) - Generic в репозитории GitHub octoprint/octoprint до версии 1.8.0.
CVE-2024-49377OctoPrint предоставляет веб-интерфейс для управления потребительскими 3D-принтерами. OctoPrint версий до 1.10.2 включительно содержит отраженные XSS-уязвимости в диалоговом окне входа в систему и в автономном диалоговом окне подтверждения ключа приложения. Злоумышленник, который успешно убедил жертву перейти по специально созданной ссылке для входа в систему или вредоносное приложение, запущенное на компьютере жертвы, инициирующее рабочий процесс ключа приложения со специально созданными параметрами, а затем перенаправляющее жертву в соответствующее автономное диалоговое окно подтверждения, может использовать это для извлечения или изменения конфиденциальных настроек конфигурации, прерывания печати или иного злонамеренного взаимодействия с экземпляром OctoPrint. Вышеупомянутые конкретные уязвимости диалогового окна входа в систему и автономного диалогового окна подтверждения ключа приложения были исправлены в выпуске 1.10.3 с исправлением ошибок путем индивидуального экранирования обнаруженных местоположений. Глобальное изменение во всей системе шаблонов OctoPrint с предстоящим выпуском 1.11.0 будет обрабатывать это и дальше, переключаясь на глобально принудительное автоматическое экранирование и, таким образом, уменьшая общую поверхность атаки. Последнее также повысит безопасность сторонних плагинов. В течение переходного периода сторонние плагины смогут подключиться к автоматическому экранированию. В OctoPrint 1.13.0 автоматическое экранирование будет переключено на принудительное применение даже для сторонних плагинов, если они явно не откажутся.
CVE-2021-32561OctoPrint до версии 1.6.0 допускает XSS, поскольку сообщения об ошибках API включают значения входных параметров.
CVE-2026-23892OctoPrint предоставляет веб-интерфейс для управления потребительскими 3D-принтерами. Версии OctoPrint до 1.11.5 включительно затронуты (теоретической) уязвимостью атаки при синхронизации, которая позволяет извлечение ключа API по сети. Из-за использования сравнения, основанного на символах, что короткие замыкания на первом несоответствуем персонаже во время проверки ключа API, а не криптографический метод со статическим временем выполнения независимо от точки несоответствия, злоумышленник с сетевым доступом к затронутому OctoPrint может извлечь ключи API, действительные на примере, путем измерения времени ответа отклоненных ответов доступа и угадывания символа ключа API по символам. Уязвимость исправлена в версии 1.11.6. Вероятность того, что эта атака действительно работает, сильно зависит от задержки сети, шума и аналогичных параметров. Фактическое доказательство концепции до сих пор не достигнуто. Тем не менее, как всегда, администраторам рекомендуется не разоблачать свой экземпляр OctoPrint во враждебных сетях, особенно в общедоступном Интернете.
CVE-2022-3607Не удалось выполнить очистку специальных элементов в другую плоскость (Special Element Injection) в репозитории GitHub octoprint/octoprint до версии 1.8.3.
CVE-2022-2872Неограниченная загрузка файлов с опасным типом в репозитории GitHub octoprint/octoprint до версии 1.8.3.
CVE-2024-23637OctoPrint - это веб-интерфейс для 3D-принтера. Версии OctoPrint до 1.9.3 включительно содержат уязвимость, позволяющую злонамеренным администраторам изменять пароль других учетных записей администраторов, включая их собственные, без необходимости повторного ввода пароля. Злоумышленник, получивший контроль над учетной записью администратора, может использовать это для блокировки доступа настоящих администраторов к их экземпляру OctoPrint. Уязвимость будет исправлена в версии 1.10.0.
CVE-2024-28237OctoPrint предоставляет веб-интерфейс для управления потребительскими 3D-принтерами. OctoPrint версий до 1.9.3 включительно содержит уязвимость, которая позволяет злонамеренным администраторам настраивать URL-адрес снимка веб-камеры или уговаривать жертву с правами администратора настроить его, который при тестировании с помощью кнопки «Test», включенной в веб-интерфейс, будет выполнять код JavaScript в браузере жертвы при попытке отобразить изображение снимка. Злоумышленник, которому успешно удалось уговорить жертву с правами администратора выполнить тест снимка с помощью такого URL-адреса, может использовать это для получения или изменения конфиденциальных параметров конфигурации, прерывания печати или иного злонамеренного взаимодействия с экземпляром OctoPrint. Уязвимость исправлена в версии 1.10.0rc3. Администраторам OctoPrint настоятельно рекомендуется тщательно проверять, кто имеет административный доступ к их установке и какие параметры они изменяют на основе инструкций незнакомцев.
CVE-2025-64187OctoPrint предоставляет веб-интерфейс для управления потребительскими 3D-принтерами. Версии 1.11.3 и ниже подвержены уязвимости, которая позволяет инъекции произвольного HTML и JavaScript в уведомления Action Command и подсказывает всплывающие окна, генерируемые принтером. Злоумышленник, который успешно убеждает жертву распечатать специально созданный файл, может использовать эту проблему для нарушения текущих отпечатков, извлечения информации (включая конфиденциальные настройки конфигурации, если целевой пользователь имеет необходимые разрешения для этого) или выполнять другие действия от имени целевого пользователя в экземпляре OctoPrint. Эта проблема исправлена в версии 1.11.4.
CVE-2025-48067OctoPrint предоставляет веб-интерфейс для управления потребительскими 3D-принтерами. Версии OctoPrint вплоть до 1.11.1 содержат уязвимость, позволяющую злоумышленнику с разрешением FILE_UPLOAD осуществлять эксфильтрацию файлов с хоста, к которым у OctoPrint есть доступ на чтение, путем перемещения их в папку загрузки, откуда они затем могут быть скачаны. Эта уязвимость исправлена в версии 1.11.2.
Дополнительная информация доступна в [1] https://github.com/OctoPrint/OctoPrint/security/advisories/GHSA-m9jh-jf9h-x3h2 и [2] https://github.com/OctoPrint/OctoPrint/commit/9984b20773f5895a432f965b759999b16c57f7d8.
Источники:
- [1] https://github.com/OctoPrint/OctoPrint/security/advisories/GHSA-m9jh-jf9h-x3h2
- [2] https://github.com/OctoPrint/OctoPrint/commit/9984b20773f5895a432f965b759999b16c57f7d8
CVE-2022-2888Если злоумышленник каким-либо образом завладеет файлом cookie сеанса OctoPrint жертвы, злоумышленник сможет использовать этот файл cookie для аутентификации, пока существует учетная запись жертвы.
CVE-2025-32788OctoPrint предоставляет веб-интерфейс для управления потребительскими 3D-принтерами. В версиях до 1.10.3 включительно OctoPrint содержит уязвимость, позволяющую злоумышленнику обойти перенаправления входа и напрямую получить доступ к отображаемому HTML-коду определенных страниц фронтенда. Основная опасность заключается в потенциальных будущих изменениях в коде, которые могут некорректно полагаться на уязвимые внутренние функции для проверки аутентификации, что может привести к уязвимостям безопасности. Эта проблема исправлена в версии 1.11.0 [1].
Источники:
- [1] https://github.com/OctoPrint/OctoPrint/security/advisories/GHSA-qw93-h6pf-226x
CVE-2022-1428Проблема обнаружена в GitLab, затрагивающая все версии до 14.8.6, все версии, начиная с 14.9 до 14.9.4, все версии, начиная с 14.10 до 14.10.1. GitLab неправильно проверял ограничения регулирования для запросов аутентифицированных пакетов, что приводило к несоблюдению ограничений.