Описание
Уязвимость контроллера 3D-принтера OctoPrint связана с недостаточным ограничением попыток аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности с помощью атаки методом «грубой силы» (brute force)
Вендор
Сообщество свободного программного обеспечения
Наименование ПО
OctoPrint
Версия ПО
до 1.9.0 (OctoPrint)
Тип ПО
ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
https://github.com/octoprint/octoprint/commit/82c892ba40b3741d1b7711d949e56af64f5bc2de
Компенсирующие меры:
- ограничение доступа к устройству из общедоступных сетей (Интернет);
- организация доступа к устройству только из определенного сегмента сети (сегментирование сети).
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 49%
0.00263
Низкий
8.6 High
CVSS3
9 Critical
CVSS2
Связанные уязвимости
CVSS3: 7.5
nvd
больше 3 лет назад
An attacker can freely brute force username and password and can takeover any account. An attacker could easily guess user passwords and gain access to user and administrative accounts.
CVSS3: 7.5
debian
больше 3 лет назад
An attacker can freely brute force username and password and can takeo ...
CVSS3: 3.7
github
больше 3 лет назад
OctoPrint does not have rate limiting on the login page
EPSS
Процентиль: 49%
0.00263
Низкий
8.6 High
CVSS3
9 Critical
CVSS2