Mikilvægur varnarleysi (CVE-2023-27482) hefur verið auðkenndur í opna sjálfvirkni heimakerfisins Home Assistant, sem gerir þér kleift að komast framhjá auðkenningu og fá fullan aðgang að forréttinda Supervisor API, þar sem þú getur breytt stillingum, sett upp/uppfært hugbúnað, stjórna viðbótum og afritum.
Vandamálið hefur áhrif á uppsetningar sem nota Supervisor íhlutinn og hefur birst frá fyrstu útgáfum (síðan 2017). Til dæmis er varnarleysið til staðar í Home Assistant OS og Home Assistant Supervised umhverfi, en hefur ekki áhrif á Home Assistant Container (Docker) og handvirkt Python umhverfi byggt á Home Assistant Core.
Varnarleysið er lagað í Home Assistant Supervisor útgáfu 2023.01.1. Viðbótarlausn er innifalin í Home Assistant 2023.3.0 útgáfunni. Á kerfum þar sem ekki er hægt að setja uppfærsluna upp til að loka á varnarleysið er hægt að takmarka aðgang að netgátt Home Assistant vefþjónustunnar frá ytri netum.
Aðferðin við að nýta varnarleysið hefur ekki enn verið nákvæm (samkvæmt þróunaraðilum hefur um 1/3 notenda sett upp uppfærsluna og mörg kerfi eru enn viðkvæm). Í leiðréttri útgáfu, í skjóli hagræðingar, hafa verið gerðar breytingar á vinnslu tákna og umboðsfyrirspurna og síum hefur verið bætt við til að hindra skiptingu á SQL fyrirspurnum og innsetningu " » и использования путей с «../» и «/./».
Heimild: opennet.ru