Aithníodh leochaileacht ríthábhachtach (CVE-2023-27482) san ardán uathoibrithe tí oscailte Cúntóir Baile, a ligeann duit fíordheimhniú a sheachbhóthar agus rochtain iomlán a fháil ar an API Maoirseora faoi phribhléid, trínar féidir leat socruithe a athrú, bogearraí a shuiteáil/ a nuashonrú, bainistigh breiseáin agus cúltacaí.
Bíonn tionchar ag an bhfadhb ar shuiteálacha a úsáideann comhpháirt an Mhaoirseora agus tá an chuma uirthi ón gcéad eisiúintí (ó 2017). Mar shampla, tá an leochaileacht i láthair i dtimpeallachtaí Cúntóir Baile OS agus Cúntóir Baile faoi Mhaoirseacht, ach ní dhéanann sé difear do Choimeádán Cúnta Baile (Docker) agus timpeallachtaí Python a cruthaíodh de láimh bunaithe ar Home Assistant Core.
Tá an leochaileacht socraithe sa leagan Maoirseoir Cúnta Baile 2023.01.1. Tá réiteach breise san áireamh i scaoileadh Cúntóir Baile 2023.3.0. Ar chórais nach féidir an nuashonrú a shuiteáil orthu chun an leochaileacht a bhlocáil, is féidir leat rochtain ar phort líonra sheirbhís gréasáin Cúntóir Baile a shrianadh ó líonraí seachtracha.
Níl an modh chun an leochaileacht a shaothrú mionsonraithe fós (de réir na bhforbróirí, tá an nuashonrú suiteáilte ag thart ar 1/3 úsáideoirí agus tá go leor córas fós leochaileach). Sa leagan ceartaithe, faoi chruth optamaithe, rinneadh athruithe ar phróiseáil comharthaí agus fiosruithe seachfhreastalaí, agus cuireadh scagairí leis chun bac a chur le ceisteanna SQL a chur in ionad agus an " » и использования путей с «../» и «/./».
Foinse: oscailtenet.ru