'n Kritieke kwesbaarheid (CVE-2023-27482) is geïdentifiseer in die oophuis-outomatiseringsplatform Home Assistant, wat jou toelaat om verifikasie te omseil en volle toegang tot die bevoorregte Supervisor API te verkry, waardeur jy instellings kan verander, sagteware kan installeer/bywerk, bestuur byvoegings en rugsteun.
Die probleem raak installasies wat die Toesighouer-komponent gebruik en het sedert sy eerste vrystellings (sedert 2017) verskyn. Die kwesbaarheid is byvoorbeeld teenwoordig in die Home Assistant OS en Home Assistant Supervised-omgewings, maar raak nie Home Assistant Container (Docker) en handgemaakte Python-omgewings gebaseer op Home Assistant Core nie.
Die kwesbaarheid is reggestel in Home Assistant Supervisor weergawe 2023.01.1. 'n Bykomende oplossing is ingesluit in die Home Assistant 2023.3.0-vrystelling. Op stelsels waarop dit nie moontlik is om die opdatering te installeer om die kwesbaarheid te blokkeer nie, kan jy toegang tot die netwerkpoort van die Home Assistant-webdiens vanaf eksterne netwerke beperk.
Die metode om die kwesbaarheid te ontgin is nog nie gedetailleerd nie (volgens die ontwikkelaars het ongeveer 1/3 van gebruikers die opdatering geïnstalleer en baie stelsels bly kwesbaar). In die gekorrigeerde weergawe, onder die dekmantel van optimalisering, is veranderinge aan die verwerking van tekens en gevolmagtigde navrae aangebring, en filters is bygevoeg om die vervanging van SQL-navrae en die invoeging van die " » и использования путей с «../» и «/./».
Bron: opennet.ru