Avoimessa kodin automaatioalustassa Home Assistant on havaittu kriittinen haavoittuvuus (CVE-2023-27482), jonka avulla voit ohittaa todennuksen ja saada täyden pääsyn etuoikeutettuun Supervisor API:hen, jonka kautta voit muuttaa asetuksia, asentaa/päivittää ohjelmistoja, hallita lisäosia ja varmuuskopioita.
Ongelma koskee Supervisor-komponenttia käyttäviä asennuksia, ja se on ilmennyt sen ensimmäisistä julkaisuista lähtien (vuodesta 2017). Haavoittuvuus on esimerkiksi Home Assistant OS- ja Home Assistant Supervised -ympäristöissä, mutta se ei vaikuta Home Assistant Containeriin (Docker) eikä Home Assistant Coreen perustuviin manuaalisesti luotuihin Python-ympäristöihin.
Haavoittuvuus on korjattu Home Assistant Supervisorin versiossa 2023.01.1. Home Assistant 2023.3.0 -julkaisuun sisältyy lisäkiertotapa. Järjestelmissä, joihin ei ole mahdollista asentaa päivitystä haavoittuvuuden estämiseksi, voit rajoittaa pääsyä Home Assistant -verkkopalvelun verkkoporttiin ulkoisista verkoista.
Haavoittuvuuden hyödyntämismenetelmää ei ole vielä tarkennettu (kehittäjien mukaan noin 1/3 käyttäjistä on asentanut päivityksen ja monet järjestelmät ovat edelleen haavoittuvia). Korjatussa versiossa on optimoinnin varjolla tehty muutoksia tokenien ja välityspalvelinkyselyjen käsittelyyn ja lisätty suodattimia estämään SQL-kyselyiden korvaaminen ja " » и использования путей с «../» и «/./».
Lähde: opennet.ru