Kritična ranjivost (CVE-2023-27482) identifikovana je u otvorenoj platformi kućne automatizacije Home Assistant, koja vam omogućava da zaobiđete autentifikaciju i dobijete puni pristup privilegovanom Supervisor API-ju, preko kojeg možete mijenjati postavke, instalirati/ažurirati softver, upravljati dodacima i rezervnim kopijama.
Problem utiče na instalacije koje koriste komponentu Supervizor i pojavljuje se od njenih prvih izdanja (od 2017.). Na primjer, ranjivost je prisutna u okruženjima Home Assistant OS i Home Assistant Supervised, ali ne utiče na Home Assistant Container (Docker) i ručno kreirana Python okruženja zasnovana na Home Assistant Core.
Ranjivost je ispravljena u Home Assistant Supervisor verziji 2023.01.1. Dodatno rješenje uključeno je u izdanje Home Assistant 2023.3.0. Na sistemima na kojima nije moguće instalirati ažuriranje radi blokiranja ranjivosti, možete ograničiti pristup mrežnom portu web usluge Home Assistant sa vanjskih mreža.
Način iskorišćavanja ranjivosti još nije detaljno objašnjen (prema programerima, oko 1/3 korisnika je instaliralo ažuriranje i mnogi sistemi su i dalje ranjivi). U ispravljenoj verziji, pod krinkom optimizacije, napravljene su promjene u obradi tokena i proksi upita, a dodani su i filteri koji blokiraju zamjenu SQL upita i umetanje " » и использования путей с «../» и «/./».
izvor: opennet.ru