Ачык үй автоматташтыруу платформасында (CVE-2023-27482) олуттуу кемчилик аныкталды, ал сизге аутентификацияны айланып өтүүгө жана артыкчылыктуу Supervisor API'ге толук мүмкүнчүлүк алууга мүмкүндүк берет, ал аркылуу сиз орнотууларды өзгөртүүгө, программалык камсыздоону орнотууга/жаңыртууга, кошумчаларды жана камдык көчүрмөлөрдү башкаруу.
Көйгөй Supervisor компонентин колдонгон орнотууларга таасирин тийгизет жана анын биринчи чыгарылыштарынан бери (2017-жылдан бери) пайда болду. Мисалы, алсыздык Home Assistant OS жана Home Assistant көзөмөлдөнгөн чөйрөлөрүндө бар, бирок Home Assistant Container (Docker) жана Home Assistant Core негизинде кол менен түзүлгөн Python чөйрөлөрүнө таасир этпейт.
Алсыздык Home Assistant Supervisor 2023.01.1 версиясында оңдолгон. Кошумча убактылуу чечүү Home Assistant 2023.3.0 релизинде камтылган. Алсыздыкты бөгөттөө үчүн жаңыртууну орнотуу мүмкүн болбогон системаларда сиз Home Assistant веб-кызматынын тармак портуна тышкы тармактардан кирүү мүмкүнчүлүгүн чектей аласыз.
Алсыздыкты пайдалануу ыкмасы азырынча деталдаштырылган эмес (иштеп чыгуучулардын айтымында, колдонуучулардын 1/3 бөлүгү жаңыртууну орнотушкан жана көптөгөн системалар аялуу бойдон калууда). Оңдолгон версияда оптималдаштырууга жамынып, токендерди жана прокси сурамдарды иштетүүгө өзгөртүүлөр киргизилип, SQL сурамдарын алмаштырууну жана " » и использования путей с «../» и «/./».
Source: opennet.ru