یک آسیبپذیری حیاتی (CVE-2023-27482) در پلتفرم اتوماسیون خانگی باز شناسایی شده است که به شما امکان میدهد احراز هویت را دور بزنید و به API ممتاز Supervisor دسترسی کامل داشته باشید، که از طریق آن میتوانید تنظیمات را تغییر دهید، نرمافزار را نصب یا بهروزرسانی کنید. مدیریت افزونه ها و پشتیبان گیری
این مشکل بر نصبهایی تأثیر میگذارد که از مؤلفه Supervisor استفاده میکنند و از اولین انتشار آن (از سال 2017) ظاهر شده است. به عنوان مثال، این آسیبپذیری در محیطهای Home Assistant OS و Home Assistant Supervised وجود دارد، اما روی کانتینر Home Assistant (Docker) و محیطهای Python که به صورت دستی بر اساس Home Assistant Core ایجاد شده است، تأثیری ندارد.
این آسیب پذیری در Home Assistant Supervisor نسخه 2023.01.1 رفع شده است. یک راه حل اضافی در نسخه Home Assistant 2023.3.0 گنجانده شده است. در سیستم هایی که امکان نصب به روز رسانی برای مسدود کردن آسیب پذیری وجود ندارد، می توانید دسترسی به پورت شبکه سرویس وب Home Assistant را از شبکه های خارجی محدود کنید.
روش بهره برداری از این آسیب پذیری هنوز به طور دقیق مشخص نشده است (طبق گفته توسعه دهندگان، حدود 1/3 از کاربران این به روز رسانی را نصب کرده اند و بسیاری از سیستم ها آسیب پذیر هستند). در نسخه اصلاح شده، تحت عنوان بهینه سازی، تغییراتی در پردازش توکن ها و پرس و جوهای پروکسی ایجاد شده است و فیلترهایی برای جلوگیری از جایگزینی پرس و جوهای SQL و درج " » и использования путей с «../» и «/./».
منبع: opennet.ru