Se ha identificado una vulnerabilidad crítica (CVE-2023-27482) en la plataforma abierta de automatización del hogar Home Assistant, que le permite eludir la autenticación y obtener acceso completo a la API privilegiada de Supervisor, a través de la cual puede cambiar la configuración, instalar/actualizar software, administrar complementos y copias de seguridad.
El problema afecta a las instalaciones que utilizan el componente Supervisor y ha aparecido desde sus primeros lanzamientos (desde 2017). Por ejemplo, la vulnerabilidad está presente en los entornos Home Assistant OS y Home Assistant Supervised, pero no afecta a Home Assistant Container (Docker) ni a los entornos Python creados manualmente basados en Home Assistant Core.
La vulnerabilidad se solucionó en la versión 2023.01.1 de Home Assistant Supervisor. Se incluye una solución alternativa en la versión Home Assistant 2023.3.0. En sistemas en los que no es posible instalar la actualización para bloquear la vulnerabilidad, puede restringir el acceso al puerto de red del servicio web Home Assistant desde redes externas.
Aún no se ha detallado el método para explotar la vulnerabilidad (según los desarrolladores, aproximadamente 1/3 de los usuarios han instalado la actualización y muchos sistemas siguen siendo vulnerables). En la versión corregida, con el pretexto de optimización, se han realizado cambios en el procesamiento de tokens y consultas proxy, y se han agregado filtros para bloquear la sustitución de consultas SQL y la inserción del " » и использования путей с «../» и «/./».
Fuente: opennet.ru