Une vulnérabilité critique (CVE-2023-27482) a été identifiée dans la plateforme ouverte de domotique Home Assistant, qui vous permet de contourner l'authentification et d'obtenir un accès complet à l'API privilégiée du superviseur, grâce à laquelle vous pouvez modifier les paramètres, installer/mettre à jour le logiciel, gérer les modules complémentaires et les sauvegardes.
Le problème affecte les installations qui utilisent le composant Supervisor et est apparu depuis ses premières versions (depuis 2017). Par exemple, la vulnérabilité est présente dans les environnements Home Assistant OS et Home Assistant Supervised, mais n'affecte pas Home Assistant Container (Docker) et les environnements Python créés manuellement basés sur Home Assistant Core.
La vulnérabilité est corrigée dans la version 2023.01.1 de Home Assistant Supervisor. Une solution de contournement supplémentaire est incluse dans la version Home Assistant 2023.3.0. Sur les systèmes sur lesquels il n'est pas possible d'installer la mise à jour pour bloquer la vulnérabilité, vous pouvez restreindre l'accès au port réseau du service Web Home Assistant depuis les réseaux externes.
La méthode d'exploitation de la vulnérabilité n'a pas encore été détaillée (selon les développeurs, environ 1/3 des utilisateurs ont installé la mise à jour et de nombreux systèmes restent vulnérables). Dans la version corrigée, sous couvert d'optimisation, des modifications ont été apportées au traitement des jetons et des requêtes proxy, et des filtres ont été ajoutés pour bloquer la substitution des requêtes SQL et l'insertion du " » и использования путей с «../» и «/./».
Source: opennet.ru