OctoPrint 1.11.2に認証なしファイルアップロード脆弱性（CVE未割当）

OctoPrint 1.11.2における認証なしファイルアップロードの脆弱性が発見される

セキュリティ研究者らは、**3Dプリンター用オープンソースWebインターフェース「OctoPrint 1.11.2」**に、認証なしで悪意のあるファイルをアップロード可能な重大な脆弱性を確認しました。このエクスプロイトは、**Exploit Database（EDB-ID: 52476）**で公開されており、悪用に成功した場合、**リモートコード実行（RCE）**につながる可能性があります。

技術的詳細

この脆弱性は、OctoPrintのファイルアップロード機能における不適切なアクセス制御に起因します。具体的には以下の通りです：

• 影響を受けるバージョン：OctoPrint 1.11.2（およびそれ以前のバージョンの可能性あり）
• 攻撃ベクトル：認証なしのHTTP POSTリクエストによるファイルアップロードエンドポイントへのアクセス
• 影響：任意のファイルアップロード、巧妙に細工されたペイロードによるRCEの可能性
• エクスプロイトの公開状況：Exploit DatabaseにてPoC（概念実証）コードが公開済み

現時点でCVE IDは未割り当てですが、OctoPrintのメンテナンスチームはパッチの開発を進めていると報告されています。この脆弱性は、OctoPrint開発チームとの事前調整なしにExploit Databaseで公開されたため、実際の攻撃（イン・ザ・ワイルド）が発生する懸念が高まっています。

影響分析

OctoPrintは、家庭用および産業用3Dプリンティング環境で広く利用されており、リモート管理のためにローカルネットワークやインターネットに公開されているケースが多く見られます。この脆弱性が悪用されると、攻撃者は以下のような行為が可能になります：

• ホストシステム上での任意コード実行
• 接続された3Dプリンターの制御奪取
• 他のネットワークデバイスへの侵入（ピボット攻撃）
• ランサムウェアやその他のマルウェアの展開

PoCコードが公開されていることから、OctoPrint 1.11.2を使用している組織や個人は、標的型攻撃のリスクが高まっています。

推奨対策

セキュリティチームおよびOctoPrintユーザーは、以下の対策を直ちに実施することが推奨されます：

1. ネットワークアクセスの制限：OctoPrintを信頼できるネットワークにのみ公開し、直接的なインターネットアクセスは避ける。
2. ファイルアップロード機能の無効化：可能であれば、パッチがリリースされるまでファイルアップロード機能を無効化する。
3. 不正アクセスの監視：不審なファイルアップロードや不正アクセスの試行がないかログを確認する。
4. アップデートの適用：パッチが提供され次第、最新バージョンへ速やかにアップグレードする。
5. ネットワークの分離：3DプリンターやOctoPrintインスタンスを、重要なシステムからネットワークセグメンテーションにより隔離する。

OctoPrintチームからはまだ公式のアドバイザリが発表されていませんが、ユーザーはプロジェクトのGitHubリポジトリを監視し、最新情報を確認することが推奨されます。CVEの割り当ては今後数日中に行われる見込みです。

オリジナルのエクスプロイト詳細：Exploit Database (EDB-ID: 52476)