У адчыненай платформе хатняй аўтаматызацыі Home Assistant выяўлена крытычная ўразлівасць (CVE-2023-27482), якая дазваляе абыйсці аўтэнтыфікацыю і атрымаць поўны доступ да прывілеяванага API Supervisor, праз які можна змяняць налады, усталёўваць/абнаўляць ПА, кіраваць дадаткамі і рэзервовымі.
Праблема закранае ўстаноўкі, у якіх выкарыстоўваецца кампанент Supervisor і з'яўляецца на пачынаючы з першых яго выпускаў (з 2017 года). Напрыклад, уразлівасць прысутнічае ў асяроддзі Home Assistant OS і Home Assistant Supervised, але не закранае Home Assistant Container (Docker) і ўручную створаныя Python-акружэнні на базе Home Assistant Core.
Уразлівасць ухіленая ў версіі Home Assistant Supervisor 2023.01.1. Дадаткова абыходны варыянт абароны ўключаны ў склад выпуску Home Assistant 2023.3.0. На сістэмах на якіх не атрымоўваецца ўсталяваць абнаўленне для блакавання ўразлівасці можна абмежаваць доступ да сеткавага порта web-сэрвісу Home Assistant з вонкавых сетак.
Метад эксплуатацыі ўразлівасці пакуль не дэталізуецца (па адзнацы распрацоўнікаў каля 1/3 карыстачоў усталявалі абнаўленне і шматлікія сістэмы застаюцца ўразлівыя). У выпраўленай версіі пад выглядам аптымізацыі ўнесены змены ў апрацоўку токенаў і праксаваных запытаў, а таксама дададзены фільтры для блакавання падстаноўкі SQL-запытаў, устаўкі тэга « » и использования путей с «../» и «/./».
Крыніца: opennet.ru