OrcaSlicer corrige una vulnerabilidad en archivos 3MF que ponía en riesgo los datos del usuario
La versión 2.3.2 de OrcaSlicer llegó esta semana con una amplia lista de mejoras y correcciones. Entre los puntos más importantes se encuentra la solución de una vulnerabilidad de seguridad relacionada con archivos 3MF, además de diversas mejoras de usabilidad para los usuarios de Linux.
Ya hablamos de la versión estable anterior en octubre de 2025 y, al igual que su predecesora, esta actualización también corrige varios errores y añade nuevas funciones. Sin embargo, el principal titular es la corrección de una vulnerabilidad de seguridad relacionada con la importación de archivos 3MF, que no había sido divulgada previamente.
La información publicada en las notas de lanzamiento de GitHub indica una corrección que impide que la apertura de archivos .3mf — cada vez más utilizados en proyectos complejos con múltiples placas o impresiones multicolor — permita escribir archivos en ubicaciones arbitrarias del sistema, lo que potencialmente podría derivar en la ejecución de código malicioso.
Los archivos 3MF son, en esencia, un tipo de carpeta ZIP. El usuario nunca interactúa con ellos como lo haría con un ZIP convencional, ya que el slicer gestiona la descompresión en segundo plano de forma transparente. Este tipo de vulnerabilidad, conocida coloquialmente como “zip-slip”, se aprovecha precisamente de ello. SoftFever, mantenedor principal de OrcaSlicer, explicó: “En términos simples: un actor malicioso podría crear un archivo .3mf especialmente diseñado que, al abrirse en OrcaSlicer, escribiría silenciosamente archivos controlados por el atacante en ubicaciones arbitrarias del disco del usuario, fuera de las áreas que OrcaSlicer debería tocar…”. Y añade: “simplemente abrir un ‘archivo de proyecto’ de una fuente no confiable podría comprometer el equipo”.
En teoría, estos archivos podrían subirse a repositorios de modelos, aparecer como archivos de impresión normales y explotar el sistema del usuario al descargarlos y utilizarlos. Por el momento, no se tiene conocimiento de casos reportados de este tipo de explotación en entornos reales.
“El problema fue reportado de forma responsable por el usuario ‘Zekun Shen’, quien merece mucho reconocimiento –proporcionó un análisis detallado, una prueba de concepto funcional e incluso pasos concretos sobre cómo podría construirse un .3mf malicioso”, continúa SoftFever. “Eso facilitó mucho entender el alcance completo del problema y corregirlo rápidamente.”
Dado que OrcaSlicer es una bifurcación de Bambu Studio, que a su vez deriva de PrusaSlicer, surge de forma natural la duda de si esta vulnerabilidad también podría estar presente en esos otros desarrollos anteriores. SoftFever indica que el problema se heredó desde el forkeo inicial de Bambu Studio.
Un representante de Bambu Lab afirmó que “Bambu Studio no contiene esta vulnerabilidad”. Todavía no hay respuesta por parte de Prusa sobre si el problema podría existir también en su slicer. Lógicamente, esto implica que los slicers derivados aguas abajo de versiones de Orca anteriores a la v2.3.2 también deberán incorporar este parche en sus bases de código, si aún no lo han hecho.
Orca Slicer es una bifurcación de Bambu Studio, a su vez derivado de PrusaSlicer, lo que lleva a la pregunta obvia de si esta vulnerabilidad también existe en esos cortadores. SoftFever nos dice que el problema fue heredado de la bifurcación inicial de Bambu Studio.
Un representante de Bambu Lab nos dijo que «Bambu Studio no contiene esta vulnerabilidad». Todavía tenemos que escuchar de Prusa si el problema existe en su slicer, también. En cualquier caso, es probable que otros proyectos derivados de versiones de Orca anteriores a la 2.3.2 también tengan que incorporar este parche en sus bases de código, si aún no lo han hecho.
Novedades en Orca Slicer
Los usuarios de Linux son, probablemente, quienes más se benefician de esta actualización. La versión 2.3.2 soluciona una serie de problemas específicos de la plataforma que afectaban a usuarios de escritorio Linux: errores de renderizado con pantalla negra, un fallo que duplicaba la barra de título en algunos gestores de ventanas y soporte incompleto de Wayland.
Quizá lo más importante para usuarios avanzados sea la corrección de la interfaz de línea de comandos (CLI), utilizada por operadores de granjas de impresión y por quienes ejecutan flujos de trabajo automatizados de laminado.
Además de corregir la vulnerabilidad de 3MF y de prestar especial atención a los usuarios de Linux, esta nueva versión de OrcaSlicer también incorpora algunas funciones para seguir mejorando la experiencia de uso.
Para configuraciones multimaterial de un solo extrusor que utilizan una torre de purga para garantizar impresiones de calidad, se ha añadido un segundo tipo de torre de purga. Antes, el modelo de impresora determinaba cuál se utilizaba, pero ahora hay opción. El “Tipo 1” sigue siendo el predeterminado para impresoras de Bambu Lab y Qidi Tech, pero los desarrolladores recomiendan que el resto de usuarios con impresoras tipo MMU, sistemas de corte de filamento o cambio de herramienta utilicen la torre “Tipo 2”.
Otros cambios incluyen ajustes de experiencia de usuario e interfaz, además de una amplia variedad de nuevos perfiles de impresora y materiales. Para un desglose completo de todo lo incluido en OrcaSlicer v2.3.2, se pueden consultar las notas de la versión en GitHub. Como alternativa, también está disponible el sitio web oficial. (Conviene tener cuidado con copias falsas: hay muchas en circulación. El único sitio legítimo es orcaslicer.com.)
También de interés:
- Alveo3D Expands into Shop Fume Extraction with FE150 & FE350
- Anycubic's Spring Sale Drops the Multicolor-Printing Kobra X to $279
- El MMU3 de Prusa recibe una mejora final de rendimiento y pasa al formato DIY para la Core One L
¿Cansado de leer? Pruebe a escuchar
Licencia: El texto del artículo "OrcaSlicer corrige una vulnerabilidad en archivos 3MF que ponía en riesgo los datos del usuario" de All3DP está bajo una licencia de Atribución 4.0 CC BY 4.0..