Di platforma otomasyona malê ya vekirî de Assistant Home Assistant de qelsiyek krîtîk (CVE-2023-27482) hate nas kirin, ku destûrê dide te ku hûn erêkirinê derbas bikin û bi tevahî gihîştina API-ya îmtiyaz Supervisor, bi navgîniya ku hûn dikarin mîhengan biguhezînin, nermalava saz bikin / nûve bikin, bistînin, add-ons û hilanînê birêve bibin.
Pirsgirêk bandorê li sazûmanên ku pêkhateya Serpereştyar bikar tînin dike û ji ber weşanên xwe yên yekem (ji 2017-an vir ve) xuya bû. Mînakî, lawazbûn di hawîrdorên Serperiştiya Alîkarê Malê û Alîkarê Malê de heye, lê bandorê li Konteynirê Alîkarê Malê (Docker) nake û bi destan hawîrdorên Python-ê yên ku li ser bingeha Arîkarê Malê Core têne afirandin.
Zelalbûn di guhertoya 2023.01.1 Serpereştyarê Alîkarê Malê de hatî rast kirin. Di serbestberdana Alîkarê Malê 2023.3.0 de çareseriyek din heye. Li ser pergalên ku ne mumkin e ku nûvekirinê saz bikin da ku qelsiyê asteng bikin, hûn dikarin gihîştina porta torê ya karûbarê malperê Alîkarê Malê ji torên derveyî sînordar bikin.
Rêbaza îstismarkirina qelsiyê hîna nehatiye hûrgulî (li gorî pêşdebiran, nêzikî 1/3 ji bikarhêneran nûvekirin saz kirine û gelek pergal xedar dimînin). Di guhertoya rastkirî de, di bin navê optîmîzekirinê de, guheztin di pêvajokirina nîşanan û pirsnameyên proksi de hatine çêkirin, û fîlter hatine zêdekirin da ku cîgirkirina pirsên SQL û têxistina " » и использования путей с «../» и «/./».
Source: opennet.ru
