S'ha identificat una vulnerabilitat crítica (CVE-2023-27482) a la plataforma de domòtica oberta Home Assistant, que us permet evitar l'autenticació i obtenir accés complet a l'API de supervisor privilegiada, a través de la qual podeu canviar la configuració, instal·lar/actualitzar programari, gestionar complements i còpies de seguretat.
El problema afecta les instal·lacions que utilitzen el component Supervisor i ha aparegut des dels primers llançaments (des del 2017). Per exemple, la vulnerabilitat està present als entorns Home Assistant OS i Home Assistant Supervised, però no afecta el Home Assistant Container (Docker) i els entorns Python creats manualment basats en Home Assistant Core.
La vulnerabilitat s'ha solucionat a la versió 2023.01.1 de Home Assistant Supervisor. S'inclou una solució addicional a la versió 2023.3.0 de Home Assistant. En sistemes en els quals no és possible instal·lar l'actualització per bloquejar la vulnerabilitat, podeu restringir l'accés al port de xarxa del servei web Home Assistant des de xarxes externes.
El mètode d'explotació de la vulnerabilitat encara no s'ha detallat (segons els desenvolupadors, aproximadament 1/3 dels usuaris han instal·lat l'actualització i molts sistemes continuen sent vulnerables). En la versió corregida, sota l'aparença d'optimització, s'han fet canvis en el processament de fitxes i consultes proxy, i s'han afegit filtres per bloquejar la substitució de consultes SQL i la inserció del " » и использования путей с «../» и «/./».
Font: opennet.ru