Kerentanan kritis (CVE-2023-27482) wis diidentifikasi ing platform otomatisasi omah mbukak Asisten Ngarep, sing ngidini sampeyan ngliwati otentikasi lan entuk akses lengkap menyang API Supervisor sing duwe hak istimewa, sing bisa ngganti setelan, nginstal / nganyari piranti lunak, ngatur tambahan lan serep.
Masalah mengaruhi panginstalan sing nggunakake komponen Supervisor lan wis katon wiwit rilis pisanan (wiwit 2017). Contone, kerentanan kasebut ana ing lingkungan OS Asisten Ngarep lan Asisten Ngarep, nanging ora mengaruhi Kontainer Asisten Ngarep (Docker) lan lingkungan Python sing digawe kanthi manual adhedhasar Inti Asisten Ngarep.
Kerentanan diatasi ing Home Assistant Supervisor versi 2023.01.1. Solusi tambahan kalebu ing release Home Assistant 2023.3.0. Ing sistem sing ora bisa nginstal nganyari kanggo mblokir kerentanan, sampeyan bisa matesi akses menyang port jaringan layanan web Asisten Ngarep saka jaringan eksternal.
Cara ngeksploitasi kerentanan durung dirinci (miturut pangembang, kira-kira 1/3 pangguna wis nginstal nganyari lan akeh sistem tetep rentan). Ing versi sing didandani, kanthi topeng optimasi, owah-owahan wis digawe kanggo pangolahan token lan pitakon proksi, lan saringan wis ditambahake kanggo mblokir substitusi pitakon SQL lan sisipan " Β» ΠΈ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΡ ΠΏΡΡΠ΅ΠΉ Ρ Β«../Β» ΠΈ Β«/./Β».
Source: opennet.ru