تم التعرف على ثغرة أمنية حرجة (CVE-2023-27482) في منصة التشغيل الآلي للمنزل المفتوح Home Assistant، والتي تتيح لك تجاوز المصادقة والحصول على حق الوصول الكامل إلى واجهة Supervisor API المميزة، والتي يمكنك من خلالها تغيير الإعدادات وتثبيت/تحديث البرنامج، إدارة الوظائف الإضافية والنسخ الاحتياطية.
تؤثر المشكلة على عمليات التثبيت التي تستخدم مكون المشرف وقد ظهرت منذ إصداراته الأولى (منذ عام 2017). على سبيل المثال، توجد الثغرة الأمنية في بيئات Home Assistant OS والبيئات الخاضعة للإشراف من Home Assistant، ولكنها لا تؤثر على Home Assistant Container (Docker) وبيئات Python التي تم إنشاؤها يدويًا استنادًا إلى Home Assistant Core.
تم إصلاح الثغرة الأمنية في الإصدار 2023.01.1 من Home Assistant Supervisor. تم تضمين حل إضافي في إصدار Home Assistant 2023.3.0. في الأنظمة التي لا يمكن تثبيت التحديث عليها لمنع الثغرة الأمنية، يمكنك تقييد الوصول إلى منفذ الشبكة الخاص بخدمة الويب Home Assistant من الشبكات الخارجية.
ولم يتم تفصيل طريقة استغلال الثغرة الأمنية بعد (وفقًا للمطورين، قام حوالي ثلث المستخدمين بتثبيت التحديث وما زالت العديد من الأنظمة معرضة للخطر). في الإصدار المصحح، تحت ستار التحسين، تم إجراء تغييرات على معالجة الرموز المميزة واستعلامات الوكيل، وتمت إضافة عوامل التصفية لمنع استبدال استعلامات SQL وإدراج " » и использования путей с «../» и «/./».
المصدر: opennet.ru