CVE-2024-49377

OctoPrint provides a web interface for controlling consumer 3D printers. OctoPrint versions up until and including 1.10.2 contain reflected XSS vulnerabilities in the login dialog and the standalone application key confirmation dialog. An attacker who successfully talked a victim into clicking on a specially crafted login link, or a malicious app running on a victim's computer triggering the application key workflow with specially crafted parameters and then redirecting the victim to the related standalone confirmation dialog could use this to retrieve or modify sensitive configuration settings, interrupt prints or otherwise interact with the OctoPrint instance in a malicious way. The above mentioned specific vulnerabilities of the login dialog and the standalone application key confirmation dialog have been patched in the bugfix release 1.10.3 by individual escaping of the detected locations. A global change throughout all of OctoPrint's templating system with the upcoming 1.11.0 release will handle this further, switching to globally enforced automatic escaping and thus reducing the attack surface in general. The latter will also improve the security of third party plugins. During a transition period, third party plugins will be able to opt into the automatic escaping. With OctoPrint 1.13.0, automatic escaping will be switched over to be enforced even for third party plugins, unless they explicitly opt-out.
Configurations

No configuration.

History

06 Nov 2024, 18:17

Type Values Removed Values Added
Summary
  • (es) OctoPrint proporciona una interfaz web para controlar impresoras 3D de consumo. Las versiones de OctoPrint hasta la 1.10.2 incluida contienen vulnerabilidades XSS reflejadas en el cuadro de diálogo de inicio de sesión y en el cuadro de diálogo de confirmación de clave de aplicación independiente. Un atacante que haya logrado convencer a una víctima para que haga clic en un enlace de inicio de sesión especialmente manipulado, o una aplicación maliciosa que se ejecute en la computadora de una víctima que active el workflow de clave de aplicación con parámetros especialmente manipulados y luego redirija a la víctima al cuadro de diálogo de confirmación independiente relacionado, podría usar esto para recuperar o modificar configuraciones confidenciales, interrumpir impresiones o interactuar de otro modo con la instancia de OctoPrint de forma maliciosa. Las vulnerabilidades específicas mencionadas anteriormente del cuadro de diálogo de inicio de sesión y del cuadro de diálogo de confirmación de clave de aplicación independiente se han corregido en la versión de corrección de errores 1.10.3 mediante el escape individual de las ubicaciones detectadas. Un cambio global en todo el sistema de plantillas de OctoPrint con la próxima versión 1.11.0 se ocupará de esto aún más, cambiando a un escape automático aplicado globalmente y, por lo tanto, reduciendo la superficie de ataque en general. Este último aspecto también mejorará la seguridad de los complementos de terceros. Durante un período de transición, los complementos de terceros podrán optar por el escape automático. Con OctoPrint 1.13.0, el escape automático se implementará incluso para complementos de terceros, a menos que opten por no hacerlo explícitamente.

05 Nov 2024, 19:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-11-05 19:15

Updated : 2024-11-06 18:17


NVD link : CVE-2024-49377

Mitre link : CVE-2024-49377

CVE.ORG link : CVE-2024-49377


JSON object : View

Products Affected

No product.

CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

CWE-80

Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS)