Kritikus sérülékenységet (CVE-2023-27482) azonosítottak a Home Assistant nyílt otthonautomatizálási platformon, amely lehetővé teszi a hitelesítés megkerülését, és teljes hozzáférést biztosít a kiemelt Supervisor API-hoz, amelyen keresztül módosíthatja a beállításokat, telepíthet/frissíthet szoftvereket, bővítmények és biztonsági mentések kezelése.
A probléma a Supervisor összetevőt használó telepítéseket érinti, és az első kiadása óta (2017 óta) jelent meg. A sérülékenység például a Home Assistant OS és a Home Assistant felügyelt környezetekben található, de nem érinti a Home Assistant Container (Docker) és a Home Assistant Core-on alapuló, kézzel létrehozott Python környezeteket.
A biztonsági rést a Home Assistant Supervisor 2023.01.1-es verziójában javították. A Home Assistant 2023.3.0 kiadása egy további megoldást is tartalmaz. Azokon a rendszereken, amelyekre nem lehet telepíteni a biztonsági rést blokkoló frissítést, korlátozhatja a hozzáférést a Home Assistant webszolgáltatás hálózati portjához külső hálózatokról.
A sérülékenység kihasználásának módját még nem részletezték (a fejlesztők szerint a felhasználók mintegy 1/3-a telepítette a frissítést, és sok rendszer továbbra is sebezhető). A javított verzióban az optimalizálás leple alatt a tokenek és a proxy lekérdezések feldolgozását módosították, és szűrőket adtak hozzá, amelyek blokkolják az SQL lekérdezések helyettesítését és a " » и использования путей с «../» и «/./».
Forrás: opennet.ru