Uočena je kritična ranjivost (CVE-2023-27482) u otvorenoj platformi za kućnu automatizaciju Home Assistant, koja vam omogućuje zaobilaženje autentifikacije i dobivanje punog pristupa privilegiranom Supervisor API-ju, putem kojeg možete mijenjati postavke, instalirati/ažurirati softver, upravljati dodacima i sigurnosnim kopijama.
Problem utječe na instalacije koje koriste komponentu Supervisor i pojavio se od njezinih prvih izdanja (od 2017.). Na primjer, ranjivost je prisutna u Home Assistant OS i Home Assistant Supervised okruženjima, ali ne utječe na Home Assistant Container (Docker) i ručno stvorena Python okruženja temeljena na Home Assistant Core.
Ranjivost je ispravljena u Home Assistant Supervisor verziji 2023.01.1. Dodatno zaobilazno rješenje uključeno je u izdanje Home Assistant 2023.3.0. Na sustavima na kojima nije moguće instalirati ažuriranje za blokiranje ranjivosti, možete ograničiti pristup mrežnom priključku web usluge Home Assistant s vanjskih mreža.
Metoda iskorištavanja ranjivosti još nije detaljno opisana (prema programerima, oko 1/3 korisnika instaliralo je ažuriranje i mnogi sustavi ostaju ranjivi). U ispravljenoj verziji, pod krinkom optimizacije, unesene su promjene u obradu tokena i proxy upita te su dodani filtri koji blokiraju zamjenu SQL upita i umetanje " » и использования путей с «../» и «/./».
Izvor: opennet.ru