Alvarlegur veikleiki (CVE-2023-27482) hefur fundist í opna hugbúnaðarkerfinu Home Assistant fyrir sjálfvirka heimilisnotkun. Þessi veikleiki gerir kleift að komast hjá auðkenningu og fá fullan aðgang að forréttindaforritaskilum Supervisor, sem hægt er að nota til að breyta stillingum, setja upp/uppfæra hugbúnað, stjórna viðbótum og taka afrit.
Vandamálið hefur áhrif á uppsetningar sem nota Supervisor íhlutinn og hefur verið til staðar frá fyrstu útgáfum hans (frá árinu 2017). Til dæmis er veikleikinn til staðar í Home Assistant stýrikerfum og Home Assistant eftirlitsumhverfum, en hefur ekki áhrif á Home Assistant Container (Docker) eða handvirkt búin Python umhverfi byggð á Home Assistant Core.
Veikleikinn hefur verið lagfærður í Home Assistant Supervisor útgáfu 2023.01.1. Lausn hefur einnig verið innifalin í Home Assistant útgáfu 2023.3.0. Á kerfum sem ekki geta sett upp uppfærsluna er hægt að takmarka aðgang að nettengingu vefþjónustu Home Assistant frá utanaðkomandi netum.
Aðferðin við að nýta veikleikann hefur ekki enn verið útskýrð nánar (forritararnir áætla að um þriðjungur notenda hafi sett upp uppfærsluna og mörg kerfi eru enn viðkvæm). Uppfærða útgáfan, undir yfirskini hagræðingar, kynnir breytingar á meðhöndlun tákna og milligöngubeiðna og bætir við síum til að loka fyrir SQL fyrirspurnaskipti og innsetningu á " » и использования путей с «../» и «/./».
Heimild: opennet.ru
