Eng kritesch Schwachstelle (CVE-2023-27482) gouf an der oppener Heemautomatiséierungsplattform Home Assistant identifizéiert, déi Iech erlaabt d'Authentifikatioun z'iwwergoen a vollen Zougang zu der privilegiéierter Supervisor API ze kréien, duerch déi Dir Astellunge kënnt änneren, Software installéieren / aktualiséieren, verwalten Add-ons a Backups.
De Problem beaflosst Installatiounen déi de Supervisor Komponent benotzen an ass zënter sengen éischte Verëffentlechungen opgetaucht (zënter 2017). Zum Beispill ass d'Schwachheet präsent am Home Assistant OS an Home Assistant Supervised Ëmfeld, awer beaflosst keen Home Assistant Container (Docker) a manuell erstallt Python Ëmfeld baséiert op Home Assistant Core.
D'Vulnerabilitéit ass an der Home Assistant Supervisor Versioun 2023.01.1 fixéiert. Eng zousätzlech Léisung ass an der Home Assistant 2023.3.0 Verëffentlechung abegraff. Op Systemer op deenen et net méiglech ass den Update z'installéieren fir d'Schwachheet ze blockéieren, kënnt Dir den Zougang zum Netzhafen vum Home Assistant Webservice vun externen Netzwierker beschränken.
D'Methode vun der Ausbeutung vun der Schwachstelle ass nach net detailléiert (no den Entwéckler hunn ongeféier 1/3 vun de Benotzer den Update installéiert a vill Systemer bleiwen vulnérabel). An der korrigéierter Versioun, ënner dem Deckmantel vun der Optimisatioun, goufen Ännerunge fir d'Veraarbechtung vun Tokens a Proxied Ufroen gemaach, a Filtere goufen derbäigesat fir d'Substitutioun vu SQL Ufroen an d'Insertion vun der " » и использования путей с «../» и «/./».
Source: opennet.ru