In krityske kwetsberens (CVE-2023-27482) is identifisearre yn it iepen hûsautomatisearringsplatfoarm Home Assistant, wêrtroch jo autentikaasje kinne omgean en folsleine tagong krije ta de befoarrjochte Supervisor API, wêrmei jo ynstellings kinne feroarje, software ynstallearje / bywurkje, tafoegings en backups beheare.
It probleem hat ynfloed op ynstallaasjes dy't de Supervisor-komponint brûke en is sûnt syn earste releases ferskynd (sûnt 2017). Bygelyks, de kwetsberens is oanwêzich yn 'e Home Assistant OS en Home Assistant Supervised omjouwings, mar hat gjin ynfloed op Home Assistant Container (Docker) en manuell oanmakke Python-omjouwings basearre op Home Assistant Core.
De kwetsberens is fêst yn Home Assistant Supervisor ferzje 2023.01.1. In ekstra oplossing is opnommen yn 'e Home Assistant 2023.3.0 release. Op systemen wêrop it net mooglik is om de fernijing te ynstallearjen om de kwetsberens te blokkearjen, kinne jo tagong beheine ta de netwurkpoarte fan 'e Home Assistant-webtsjinst fan eksterne netwurken.
De metoade foar it eksploitearjen fan 'e kwetsberens is noch net detaillearre (neffens de ûntwikkelders hawwe sawat 1/3 fan brûkers de fernijing ynstalleare en in protte systemen bliuwe kwetsber). Yn 'e korrizjearre ferzje, ûnder it mom fan optimisaasje, binne wizigingen makke yn' e ferwurking fan tokens en proxied-fragen, en filters binne tafoege om de ferfanging fan SQL-fragen en it ynfoegje fan 'e " » и использования путей с «../» и «/./».
Boarne: opennet.ru