Identificouse unha vulnerabilidade crítica (CVE-2023-27482) na plataforma aberta de domótica Home Assistant, que che permite ignorar a autenticación e ter acceso total á API de Supervisor privilexiada, a través da cal pode cambiar a configuración, instalar/actualizar software, xestionar complementos e copias de seguridade.
O problema afecta ás instalacións que usan o compoñente Supervisor e aparece dende os seus primeiros lanzamentos (desde 2017). Por exemplo, a vulnerabilidade está presente nos ambientes Home Assistant OS e Home Assistant supervisados, pero non afecta ao Home Assistant Container (Docker) nin aos ambientes Python creados manualmente baseados en Home Assistant Core.
A vulnerabilidade solucionouse na versión 2023.01.1 de Home Assistant Supervisor. Na versión 2023.3.0 do Home Assistant inclúese unha solución adicional. Nos sistemas nos que non é posible instalar a actualización para bloquear a vulnerabilidade, pode restrinxir o acceso ao porto de rede do servizo web Home Assistant desde redes externas.
Aínda non se detallou o método de explotación da vulnerabilidade (segundo os desenvolvedores, preto de 1/3 dos usuarios instalaron a actualización e moitos sistemas seguen sendo vulnerables). Na versión corrixida, baixo o pretexto de optimización, fixéronse cambios no procesamento de tokens e consultas proxy, e engadíronse filtros para bloquear a substitución de consultas SQL e a inserción do " » и использования путей с «../» и «/./».
Fonte: opennet.ru