Avatud koduautomaatika platvormis Home Assistant on tuvastatud kriitiline haavatavus (CVE-2023-27482), mis võimaldab teil autentimisest mööda minna ja saada täieliku juurdepääsu privilegeeritud Supervisor API-le, mille kaudu saate muuta seadeid, installida/värskendada tarkvara, hallata lisandmooduleid ja varukoopiaid.
Probleem mõjutab installatsioone, mis kasutavad komponenti Supervisor ja on ilmnenud alates selle esimestest väljalasetest (alates 2017. aastast). Näiteks on haavatavus olemas Home Assistant OS ja Home Assistant Supervised keskkondades, kuid see ei mõjuta Home Assistant Containerit (Docker) ega käsitsi loodud Pythoni keskkondi, mis põhinevad Home Assistant Core'il.
Haavatavus on parandatud Home Assistant Supervisori versioonis 2023.01.1. Koduabilise 2023.3.0 väljalase sisaldab täiendavat lahendust. Süsteemides, kuhu ei ole võimalik haavatavuse blokeerimiseks värskendust installida, saate piirata juurdepääsu veebiteenuse Home Assistant võrgupordile välistest võrkudest.
Haavatavuse ärakasutamise meetodit pole veel üksikasjalikult kirjeldatud (arendajate sõnul on umbes 1/3 kasutajatest uuenduse installinud ja paljud süsteemid jäävad haavatavaks). Parandatud versioonis on optimeerimise varjus tehtud muudatusi žetoonide ja puhverpäringute töötlemises ning lisatud on filtreid, mis blokeerivad SQL päringute asendamise ja sisestamise. » и использования путей с «../» и «/./».
Allikas: opennet.ru