CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2021-32560
https://notcve.org/view.php?id=CVE-2021-32560
The Logging subsystem in OctoPrint before 1.6.0 has incorrect access control because it attempts to manage files that are not *.log files. El subsistema de Registro en OctoPrint versiones anteriores a 1.6.0, presenta un control de acceso incorrecto porque intenta administrar archivos que no son archivos *.log • https://github.com/OctoPrint/OctoPrint/releases/tag/1.6.0 https://octoprint.org/blog/2021/04/27/new-release-1.6.0 https://www.brzozowski.io/web-applications/2021/05/11/the-insecure-story-of-octoprint.html •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 1CVE-2018-16710
https://notcve.org/view.php?id=CVE-2018-16710
OctoPrint through 1.3.9 allows remote attackers to obtain sensitive information or cause a denial of service via HTTP requests on port 8081. NOTE: the vendor disputes the significance of this report because their documentation states that with "blind port forwarding ... Putting OctoPrint onto the public internet is a terrible idea, and I really can't emphasize that enough. ** EN DISPUTA ** OctoPrint hasta la versión 1.3.9 permite que atacantes remotos obtengan información sensible o provoquen una denegación de servicio (DoS) mediante peticiones HTTP en el puerto 8081. NOTA: el fabricante discute la relevancia de este informe debido a que su documentación indica que con "reenvío ciego de puertos... poner OctoPrint en el Internet público es una idea terrible, y no podemos remarcarlo lo suficiente". • https://github.com/foosel/OctoPrint/issues/2814 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •