Ua ʻike ʻia kahi vulnerability koʻikoʻi (CVE-2023-27482) ma ka home automation platform Home Assistant, kahi e hiki ai iā ʻoe ke kāpae i ka hōʻoia a loaʻa ke komo piha i ka Supervisor API, kahi e hiki ai iā ʻoe ke hoʻololi i nā hoʻonohonoho, hoʻonohonoho / hoʻololi i nā polokalamu, mālama i nā mea hoʻohui a me nā waihona.
Pili ka pilikia i nā hoʻonohonoho e hoʻohana ana i ka ʻāpana Supervisor a ua ʻike ʻia mai kona hoʻokuʻu mua ʻana (mai 2017). No ka laʻana, aia ka nāwaliwali ma ka Home Assistant OS a me ka Home Assistant Supervised environment, akā ʻaʻole pili i ka Home Assistant Container (Docker) a hana lima ʻia nā ʻenehana Python e pili ana i ka Home Assistant Core.
Hoʻopaʻa ʻia ka haʻahaʻa ma ka Home Assistant Supervisor version 2023.01.1. Hoʻokomo ʻia kahi hana hou i ka hoʻokuʻu ʻana i ka Home Assistant 2023.3.0. Ma nā ʻōnaehana hiki ʻole ke hoʻokomo i ka mea hou no ka pale ʻana i ka nāwaliwali, hiki iā ʻoe ke kaupalena i ke komo ʻana i ke awa pūnaewele o ka lawelawe pūnaewele Home Assistant mai nā pūnaewele waho.
ʻAʻole i kikoʻī ʻia ke ʻano o ka hoʻohana ʻana i ka nāwaliwali (e like me nā mea hoʻomohala, e pili ana i ka 1/3 o nā mea hoʻohana i hoʻokomo i ka hoʻonui a nui nā ʻōnaehana e noho palupalu). Ma ka hoʻoponopono i hoʻoponopono ʻia, ma lalo o ke ʻano o ka optimization, ua hoʻololi ʻia i ka hana ʻana i nā hōʻailona a me nā nīnau proxied, a ua hoʻohui ʻia nā kānana e pale i ka hoʻololi ʻana i nā nīnau SQL a me ka hoʻokomo ʻana i ka " » и использования путей с «../» и «/./».
Source: opennet.ru