Bambuddy — это автономный архив печати и система управления для 3D-принтеров Bambu Lab. До версии 0.1.7 жестко запрограммированный секретный ключ, используемый для подписи JWT, проверяется в исходном коде, а маршруты ManyAPI не проверяют аутентификацию. Эта проблема исправлена в версии 0.1.7.
Показать оригинальное описание (EN)
Bambuddy is a self-hosted print archive and management system for Bambu Lab 3D printers. Prior to version 0.1.7, a hardcoded secret key used for signing JWTs is checked into source code and ManyAPI routes do not check authentication. This issue has been patched in version 0.1.7.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Ссылки 3
https://github.com/maziggy/bambuddy/blob/a9bb8ed8239602bf08a9914f85a09eeb2bf13d…
security-advisories@github.com
https://github.com/maziggy/bambuddy/commit/a82f9278d2d587b7042a0858aab79fd8b6e3…
security-advisories@github.com
https://github.com/maziggy/bambuddy/security/advisories/GHSA-gc24-px2r-5qmf
security-advisories@github.com