Բաց տան ավտոմատացման հարթակում Home Assistant-ում հայտնաբերվել է կրիտիկական խոցելիություն (CVE-2023-27482), որը թույլ է տալիս շրջանցել նույնականացումը և ստանալ լիարժեք մուտք դեպի արտոնյալ Supervisor API, որի միջոցով կարող եք փոխել կարգավորումները, տեղադրել/թարմացնել ծրագրակազմը, կառավարել հավելումները և կրկնօրինակումները:
Խնդիրն ազդում է այն տեղադրությունների վրա, որոնք օգտագործում են Supervisor բաղադրիչը և հայտնվել են դրա առաջին թողարկումներից (2017 թվականից): Օրինակ՝ խոցելիությունը առկա է Home Assistant OS-ում և Home Assistant-ի վերահսկվող միջավայրերում, սակայն չի ազդում Home Assistant Container-ի (Docker) և ձեռքով ստեղծված Python միջավայրերի վրա՝ հիմնված Home Assistant Core-ի վրա:
Խոցելիությունը ֆիքսված է Home Assistant Supervisor-ի 2023.01.1 տարբերակում: Լրացուցիչ լուծում ներառված է Home Assistant 2023.3.0 թողարկման մեջ: Համակարգերում, որոնց վրա հնարավոր չէ տեղադրել թարմացումը՝ խոցելիությունը արգելափակելու համար, դուք կարող եք սահմանափակել մուտքը արտաքին ցանցերից Home Assistant վեբ ծառայության ցանցային նավահանգիստ:
Խոցելիության օգտագործման մեթոդը դեռ մանրամասնված չէ (մշակողների տվյալներով՝ օգտատերերի մոտ 1/3-ը տեղադրել է թարմացումը, և շատ համակարգեր մնում են խոցելի)։ Ուղղված տարբերակում, օպտիմիզացիայի անվան տակ, փոփոխություններ են կատարվել նշանների և պրոքսի հարցումների մշակման մեջ, և ավելացվել են զտիչներ՝ արգելափակելու SQL հարցումների փոխարինումը և «-ի ներդրումը»: » и использования путей с «../» и «/./».
Source: opennet.ru