Kritika vundebleco (CVE-2023-27482) estis identigita en la malferma hejmaŭtomatiga platformo Home Assistant, kiu ebligas al vi preterpasi aŭtentigon kaj akiri plenan aliron al la privilegiita Kontrolisto API, per kiu vi povas ŝanĝi agordojn, instali/ĝisdatigi programaron, administri aldonaĵojn kaj sekurkopiojn.
La problemo influas instalaĵojn kiuj uzas la Kontrolisto-komponenton kaj aperis ekde ĝiaj unuaj eldonoj (ekde 2017). Ekzemple, la vundebleco ĉeestas en la Home Assistant OS kaj Home Assistant Supervised-medioj, sed ne influas Home Assistant Container (Docker) kaj permane kreitajn Python-mediojn bazitajn sur Home Assistant Core.
La vundebleco estas riparita en Hejma Asista Kontrolisto versio 2023.01.1. Plia solvo estas inkluzivita en la eldono de Home Assistant 2023.3.0. Sur sistemoj, sur kiuj ne eblas instali la ĝisdatigon por bloki la vundeblecon, vi povas limigi la aliron al la rethaveno de la retservo de Home Assistant de eksteraj retoj.
La metodo por ekspluati la vundeblecon ankoraŭ ne estis detala (laŭ la programistoj, ĉirkaŭ 1/3 de uzantoj instalis la ĝisdatigon kaj multaj sistemoj restas vundeblaj). En la korektita versio, sub la alivestiĝo de optimumigo, ŝanĝoj estis faritaj al la prilaborado de ĵetonoj kaj prokuritaj demandoj, kaj filtriloj estis aldonitaj por bloki la anstataŭigon de SQL-demandoj kaj la enmeton de la " » и использования путей с «../» и «/./».
fonto: opennet.ru