V otevřené platformě pro automatizaci domácnosti Home Assistant byla identifikována kritická chyba zabezpečení (CVE-2023-27482), která vám umožňuje obejít ověřování a získat plný přístup k privilegovanému rozhraní Supervisor API, jehož prostřednictvím můžete měnit nastavení, instalovat/aktualizovat software, spravovat doplňky a zálohy.
Problém se týká instalací, které používají komponentu Supervisor, a objevuje se od jejích prvních vydání (od roku 2017). Chyba zabezpečení se například vyskytuje v prostředí Home Assistant OS a Home Assistant Supervised, ale neovlivňuje Home Assistant Container (Docker) a ručně vytvořená prostředí Python založená na Home Assistant Core.
Tato chyba zabezpečení je opravena ve verzi Home Assistant Supervisor 2023.01.1. Ve vydání Home Assistant 2023.3.0 je zahrnuto další řešení. Na systémech, na které není možné nainstalovat aktualizaci k zablokování zranitelnosti, můžete omezit přístup k síťovému portu webové služby Home Assistant z externích sítí.
Způsob zneužití zranitelnosti zatím nebyl podrobně popsán (podle vývojářů si aktualizaci nainstalovala asi 1/3 uživatelů a mnoho systémů zůstává zranitelných). V opravené verzi byly pod rouškou optimalizace provedeny změny ve zpracování tokenů a proxy dotazů a byly přidány filtry blokující substituci SQL dotazů a vkládání " » и использования путей с «../» и «/./».
Zdroj: opennet.ru