Una vulnerabilità critica (CVE-2023-27482) hè stata identificata in a piattaforma d'automatizazione di casa aperta Home Assistant, chì vi permette di scaccià l'autentificazione è uttene un accessu cumpletu à l'API Supervisore privilegiata, attraversu quale pudete cambià i paràmetri, installà / aghjurnà u software, gestisce add-ons è backups.
U prublema affetta l'installazione chì utilizanu u cumpunente Supervisor è hè apparsu da i so primi versioni (dapoi 2017). Per esempiu, a vulnerabilità hè presente in l'ambienti Home Assistant OS è Home Assistant Supervised, ma ùn afecta micca Home Assistant Container (Docker) è ambienti Python creati manualmente basatu in Home Assistant Core.
A vulnerabilità hè corretta in Home Assistant Supervisor versione 2023.01.1. Una soluzione addiziale hè inclusa in a versione Home Assistant 2023.3.0. In i sistemi chì ùn hè micca pussibule di stallà l'aghjurnamentu per bluccà a vulnerabilità, pudete limità l'accessu à u portu di a reta di u serviziu web Home Assistant da e rete esterne.
U metudu di sfruttà a vulnerabilità ùn hè ancu statu detallatu (sicondu i sviluppatori, circa 1/3 di l'utilizatori anu stallatu l'aghjurnamentu è parechji sistemi restanu vulnerabili). In a versione curretta, sottu u preghjudiziu di ottimisazione, i cambiamenti sò stati fatti à u processu di tokens è e dumande proxy, è i filtri sò stati aghjunti per bluccà a sustituzione di e dumande SQL è l'inserzione di " » и использования путей с «../» и «/./».
Source: opennet.ru