Ang usa ka kritikal nga kahuyangan (CVE-2023-27482) nahibal-an sa Home Assistant open home automation platform, nga nagtugot sa pag-bypass sa pag-authenticate ug pag-angkon sa hingpit nga pag-access sa pribilihiyo nga Supervisor API, diin mahimo nimong usbon ang mga setting, pag-install / pag-update sa software, pagdumala sa pagdugang -on ug backups.
Ang isyu makaapekto sa mga instalasyon nga naggamit sa Supervisor component ug anaa na sukad sa unang pagpagawas niini (sukad sa 2017). Pananglitan, ang pagkahuyang anaa sa Home Assistant OS ug Home Assistant Supervised environment, apan dili makaapekto sa Home Assistant Container (Docker) ug mano-mano nga gibuhat ang Python environment base sa Home Assistant Core.
Ang pagkahuyang naayo sa Home Assistant Supervisor nga bersyon 2023.01.1. Usa ka dugang nga kapilian sa bypass sa seguridad gilakip sa pagpagawas sa Home Assistant 2023.3.0. Sa mga sistema nga napakyas sa pag-install sa update aron babagan ang pagkahuyang, mahimo nimong higpitan ang pag-access sa pantalan sa network sa serbisyo sa web sa Home Assistant gikan sa mga eksternal nga network.
Ang pamaagi sa pagpahimulos sa pagkahuyang wala pa detalyado (sumala sa mga nag-develop, mga 1/3 sa mga tiggamit ang nag-install sa update ug daghang mga sistema ang nagpabilin nga huyang). Sa gitul-id nga bersyon, ubos sa pagtakuban sa pag-optimize, ang mga pagbag-o gihimo sa pagproseso sa mga token ug mga hangyo sa proxy, ug ang mga pagsala gidugang aron babagan ang pag-ilis sa mga pangutana sa SQL, pagsal-ot sa tag " Β» ΠΈ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΡ ΠΏΡΡΠ΅ΠΉ Ρ Β«../Β» ΠΈ Β«/./Β».
Source: opennet.ru