从这个网页截图中可以获取到以下关于漏洞的关键信息: 漏洞概览 漏洞名称: Timing Side-Channel in API Key Authentication 漏洞ID: GHSA-xg4x-w2j3-57h6 公开时间: 6小时前 CVE ID: CVE-2026-23892 严重性: 中等 (6.0/10) 报告人: yueyueL 影响范围 受影响的版本: <=1.11.5 修复版本: 1.11.6 漏洞描述 漏洞描述: OctoPrint一些版本受到一个(理论上的)定时侧信道攻击漏洞的影响,该漏洞允许通过网络进行API密钥提取。 影响: 由于使用基于字符的比较来在API密钥验证期间在第一个不匹配字符时短路,而不是使用在静态运行时与不匹配点无关的加密方法,在受此漏洞影响的OctoPrint上,攻击者可以通过测量请求的响应时间来提取API密钥的值。 修复建议 修复措施: 此漏洞在1.11.6版本中被修复。 缓解措施: 由于网络的延迟、噪音等参数,该攻击实际工作的可能性很大程度上取决于网络条件。没有实际的概念验证。管理员仍被建议不要在敌对网络上,尤其是公共互联网上暴露其OctoPrint。 其他信息 CVSS v4 基础度量值: - 攻击向量: 临近 - 攻击复杂性: 高 - 攻击需求: 存在 - 权限要求: 无 - 用户交互: 无 - 机密性影响: 高 - 完整性影响: 无 - 可用性影响: 无 - 后续系统机密性影响: 无 - 后续系统完整性影响: 无 - 后续系统可用性影响: 无 漏洞发现者: 这个漏洞由Knox Liu发现并负责任地向OctoPrint披露。