CRITICAL🇬🇧 English

CVE-2026-25505

Bambuddy: hardkodowany klucz JWT i brak uwierzytelniania w API

CVSS 9.8v3.1pub. 2026-02-04upd. 2026-02-27

Bambuddy w wersjach przed 0.1.7 zawiera hardkodowany tajny klucz służący do podpisywania tokenów JWT, który jest jawnie umieszczony w kodzie źródłowym. Dodatkowo wiele tras API nie weryfikuje uwierzytelniania, co umożliwia atakującemu pełne przejęcie kontroli nad instancją bez posiadania jakichkolwiek poświadczeń.

Pokaż oryginał (EN)

Bambuddy is a self-hosted print archive and management system for Bambu Lab 3D printers. Prior to version 0.1.7, a hardcoded secret key used for signing JWTs is checked into source code and ManyAPI routes do not check authentication. This issue has been patched in version 0.1.7.

🤖 Analiza AI
Jak działa

Podatność składa się z dwóch powiązanych problemów (CWE-306, CWE-321). Po pierwsze, tajny klucz używany do podpisywania i weryfikacji tokenów JWT jest zahardkodowany w kodzie źródłowym aplikacji (plik backend/app/core/auth.py), co oznacza, że każdy, kto ma dostęp do repozytorium, zna ten klucz i może samodzielnie generować prawidłowe, podpisane tokeny JWT dla dowolnego użytkownika. Po drugie, wiele tras API (ManyAPI routes) nie sprawdza w ogóle uwierzytelniania, co pozwala nieuwierzytelnionemu atakującemu na bezpośredni dostęp do chronionych zasobów bez konieczności posiadania ważnego tokenu.

Skutki

Atakujący sieciowy bez żadnych uprawnień może uzyskać pełny dostęp do danych, modyfikować konfigurację drukarek 3D oraz przeprowadzać działania z najwyższymi uprawnieniami w aplikacji, co odpowiada maksymalnemu wpływowi na poufność, integralność i dostępność systemu.

Mitygacja

Należy zaktualizować Bambuddy do wersji 0.1.7, w której problem został rozwiązany. Po aktualizacji zaleca się unieważnienie wszystkich istniejących tokenów JWT oraz zmianę klucza podpisującego na unikalną, tajną wartość niezawartą w kodzie źródłowym.

Kogo dotyczy

Bambuddy (system samodzielnie hostowanego archiwum i zarządzania drukiem dla drukarek 3D Bambu Lab) we wszystkich wersjach przed 0.1.7

Uwagi

Hardkodowany klucz JWT jest dostępny publicznie w historii repozytorium GitHub (plik backend/app/core/auth.py, linia 28), co oznacza, że jego wartość jest znana każdemu, kto przeglądał kod źródłowy przed wydaniem patcha.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Bambuddy

    APP
    Bambuddy
    < 0.1.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje