Дистанционно използвана уязвимост в платформата Home Assistant

Беше идентифицирана критична уязвимост (CVE-2023-27482) в отворената платформа за домашна автоматизация Home Assistant, която ви позволява да заобиколите удостоверяването и да получите пълен достъп до привилегирования API на Supervisor, чрез който можете да променяте настройките, да инсталирате/актуализирате софтуер, управление на добавки и архивиране.

Проблемът засяга инсталации, които използват компонента Supervisor и се появява от първите му версии (от 2017 г.). Например, уязвимостта присъства в Home Assistant OS и Home Assistant Supervised среди, но не засяга Home Assistant Container (Docker) и ръчно създадените Python среди, базирани на Home Assistant Core.

Уязвимостта е коригирана във версия 2023.01.1 на Home Assistant Supervisor. Допълнително решение е включено в изданието Home Assistant 2023.3.0. На системи, на които не е възможно да инсталирате актуализацията, за да блокирате уязвимостта, можете да ограничите достъпа до мрежовия порт на уеб услугата Home Assistant от външни мрежи.

Методът за използване на уязвимостта все още не е уточнен (според разработчиците около 1/3 от потребителите са инсталирали актуализацията и много системи остават уязвими). В коригираната версия, под прикритието на оптимизация, са направени промени в обработката на токени и прокси заявки и са добавени филтри за блокиране на подмяната на SQL заявки и вмъкването на " » и использования путей с «../» и «/./».

Източник: opennet.ru