Home Assistant ашық үй автоматтандыру платформасында маңызды осалдық (CVE-2023-27482) анықталды, ол аутентификацияны айналып өтуге және артықшылықты Supervisor API интерфейсіне толық қол жеткізуге мүмкіндік береді, ол арқылы параметрлерді өзгертуге, бағдарламалық құралды орнатуға/жаңартуға, қондырмалар мен сақтық көшірмелерді басқару.
Мәселе Supervisor құрамдас бөлігін пайдаланатын орнатуларға әсер етеді және оның алғашқы шығарылымдарынан (2017 жылдан бастап) пайда болды. Мысалы, осалдық Home Assistant ОЖ және Home Assistant бақыланатын орталарында бар, бірақ Home Assistant Container (Docker) және Home Assistant Core негізінде қолмен жасалған Python орталарына әсер етпейді.
Осалдық Home Assistant Supervisor 2023.01.1 нұсқасында түзетілген. Қосымша уақытша шешім Home Assistant 2023.3.0 шығарылымында қамтылған. Осалдықты блоктау үшін жаңартуды орнату мүмкін емес жүйелерде сыртқы желілерден Home Assistant веб-қызметінің желілік портына кіруді шектей аласыз.
Әлсіздікті пайдалану әдісі әлі егжей-тегжейлі айтылмаған (әзірлеушілердің айтуынша, пайдаланушылардың шамамен 1/3 бөлігі жаңартуды орнатқан және көптеген жүйелер осал болып қала береді). Түзетілген нұсқада оңтайландырудың астында таңбалауыштарды және прокси-серверді сұрауларды өңдеуге өзгертулер енгізілді және SQL сұрауларын ауыстыруды және « » и использования путей с «../» и «/./».
Ақпарат көзі: opennet.ru