オープン ホーム オートメーション プラットフォーム Home Assistant で重大な脆弱性 (CVE-2023-27482) が特定されました。これにより、認証をバイパスし、特権スーパーバイザー API への完全なアクセスが可能になり、これを通じて設定の変更、ソフトウェアのインストール/更新、アドオンとバックアップを管理します。
この問題はスーパーバイザー コンポーネントを使用するインストールに影響し、最初のリリース (2017 年以降) から発生しています。 たとえば、この脆弱性は Home Assistant OS および Home Assistant Supervised 環境に存在しますが、Home Assistant Container (Docker) および Home Assistant Core に基づいて手動で作成された Python 環境には影響しません。
この脆弱性は、Home Assistant Supervisor バージョン 2023.01.1 で修正されています。 追加の回避策は、Home Assistant 2023.3.0 リリースに含まれています。 脆弱性をブロックする更新プログラムをインストールできないシステムでは、外部ネットワークからホーム アシスタント Web サービスのネットワーク ポートへのアクセスを制限できます。
この脆弱性を悪用する方法はまだ詳細に明らかにされていません(開発者によると、ユーザーの約 1 分の 3 がアップデートをインストールしており、多くのシステムが依然として脆弱なままです)。 修正バージョンでは、最適化を装って、トークンとプロキシされたクエリの処理に変更が加えられ、SQL クエリの置換と " » и использования путей с «../» и «/./».
出所: オープンネット.ru