En kritisk sårbarhed (CVE-2023-27482) er blevet identificeret i den åbne hjemmeautomatiseringsplatform Home Assistant, som giver dig mulighed for at omgå autentificering og få fuld adgang til det privilegerede Supervisor API, hvorigennem du kan ændre indstillinger, installere/opdatere software, administrere tilføjelser og sikkerhedskopier.
Problemet påvirker installationer, der bruger Supervisor-komponenten og har dukket op siden de første udgivelser (siden 2017). For eksempel er sårbarheden til stede i Home Assistant OS og Home Assistant Supervised-miljøer, men påvirker ikke Home Assistant Container (Docker) og manuelt oprettede Python-miljøer baseret på Home Assistant Core.
Sårbarheden er rettet i Home Assistant Supervisor version 2023.01.1. En yderligere løsning er inkluderet i Home Assistant 2023.3.0-udgivelsen. På systemer, hvor det ikke er muligt at installere opdateringen for at blokere sårbarheden, kan du begrænse adgangen til netværksporten på Home Assistant-webtjenesten fra eksterne netværk.
Metoden til at udnytte sårbarheden er endnu ikke detaljeret (ifølge udviklerne har omkring 1/3 af brugerne installeret opdateringen, og mange systemer er fortsat sårbare). I den korrigerede version er der under dække af optimering foretaget ændringer i behandlingen af tokens og proxy-forespørgsler, og der er tilføjet filtre for at blokere for substitution af SQL-forespørgsler og indsættelse af " » и использования путей с «../» и «/./».
Kilde: opennet.ru