Yo te idantifye yon vilnerabilite kritik (CVE-2023-27482) nan platfòm automatisation lakay ouvè Home Assistant, ki pèmèt ou kontoune otantifikasyon ak jwenn aksè konplè a API Sipèvizè privilejye a, atravè ki ou ka chanje paramèt, enstale/mete ajou lojisyèl, jere add-ons ak sovgad.
Pwoblèm nan afekte enstalasyon ki itilize eleman Sipèvizè a e li parèt depi premye lage li yo (depi 2017). Pou egzanp, vilnerabilite a prezan nan Home Assistant OS ak Home Assistant Sipèvize anviwònman, men li pa afekte Home Assistant Container (Docker) ak manyèlman kreye anviwònman Python ki baze sou Home Assistant Core.
Vilnerabilite a fiks nan Home Assistant Supervisor vèsyon 2023.01.1. Gen yon lòt solisyon anplis nan lage Home Assistant 2023.3.0. Sou sistèm kote li pa posib pou enstale aktyalizasyon a pou bloke vilnerabilite a, ou ka mete restriksyon sou aksè nan pò rezo sèvis entènèt Home Assistant nan rezo ekstèn.
Metòd pou eksplwate vilnerabilite a poko te detaye (dapre devlopè yo, apeprè 1/3 nan itilizatè yo enstale aktyalizasyon a ak anpil sistèm rete vilnerab). Nan vèsyon an korije, anba laparans nan optimize, yo te fè chanjman nan pwosesis la nan siy ak demann proxy, ak filtè yo te ajoute yo bloke sibstitisyon an nan demann SQL ak ensèsyon an nan " » и использования путей с «../» и «/./».
Sous: opennet.ru