OctoPrint, la piattaforma open source di riferimento per il monitoraggio e il controllo remoto delle stampanti 3D, si aggiorna alla versione 1.11.2. Si tratta della seconda release di manutenzione per il ramo 1.11.x, focalizzata principalmente sulla risoluzione di vulnerabilità di sicurezza, bug tecnici e alcune migliorie lato utente. Un aggiornamento puntuale, che dimostra ancora una volta l’impegno attivo della community di sviluppo.

Indice

Due vulnerabilità corrette a livello di sicurezza

Il cuore dell’aggiornamento riguarda due falle di sicurezza classificate di gravità moderata, entrambe presenti fino alla versione 1.11.1 inclusa.

File exfiltration via upload endpoint (CVE-2025-48067)
Un utente autenticato con permessi di caricamento poteva spostare file dal sistema host alla cartella di upload, rendendoli scaricabili da remoto. Il rischio più significativo era legato alla possibile sottrazione di configurazioni sensibili di OctoPrint o file di sistema, con effetti potenzialmente anche sulla disponibilità del servizio.

Denial of Service tramite richieste HTTP malformate (CVE-2025-48879)
Un attaccante non autenticato poteva inviare una richiesta multipart/form-data manipolata per rendere il componente webserver di OctoPrint temporaneamente inutilizzabile. Una vulnerabilità che, in contesti di produzione, poteva causare disservizi significativi.

Sono stati inoltre introdotti alcuni affinamenti minori alla sicurezza:

  • Rafforzata la protezione CSRF: ora disattivabile solo in presenza di una API key esplicita.
  • Avvisi più evidenti sui permessi concessi tramite le Application Keys.
  • Limitazioni alle richieste ripetute per evitare abusi da parte di eventuali attori ostili in rete locale.

Novità tecniche e ottimizzazioni

Tra i cambiamenti degni di nota, va segnalato il blocco dell’uso della libreria Click nella versione 8.2.0, causa di problemi con i flag booleani nella riga di comando. Inoltre, viene introdotto un nuovo meccanismo di rate limiting per proteggere endpoint specifici, utile soprattutto per gli sviluppatori di plugin.

È stata anche migliorata la gestione dell’autenticazione per le API nei plugin, in vista di un cambiamento strutturale previsto nella futura versione 1.13.0.

Sul piano della distribuzione, OctoPrint ora produce pacchetti compatibili con lo standard PEP625 e ha dismesso il supporto agli obsoleti universal wheels.

Bugfix e miglioramenti dell’esperienza utente

Il rilascio risolve inoltre una serie di problemi segnalati dalla community:

  • Corretto un errore che mascherava mancanze di permessi come problemi di server (500).
  • Ripristinata la funzionalità di test reverse proxy in ambienti con pydantic 1.x.
  • Risolto un bug che impediva l’ordinamento corretto per “data dell’ultima stampa” nel plugin Upload Manager.
  • Migliorata la compatibilità del comando dev plugin:install con versioni recenti di setuptools.

OctoPrint 1.11.2 è un aggiornamento raccomandato per tutti gli utenti, in particolare per chi utilizza il software in ambienti accessibili da più utenti o connessi a reti pubbliche o semi-pubbliche. Le correzioni alle vulnerabilità note e i miglioramenti tecnici introdotti rafforzano la solidità del progetto, che resta una delle soluzioni più affidabili nel panorama della stampa 3D desktop.

Come sempre, il progetto è sostenuto dal contributo volontario della community. Chi utilizza OctoPrint in modo regolare è incoraggiato a contribuire al suo finanziamento per garantirne lo sviluppo futuro.