Atviroje namų automatizavimo platformoje „Home Assistant“ buvo nustatytas kritinis pažeidžiamumas (CVE-2023-27482), leidžiantis apeiti autentifikavimą ir gauti visišką prieigą prie privilegijuoto Supervisor API, per kurią galite keisti nustatymus, įdiegti/atnaujinti programinę įrangą, tvarkyti priedus ir atsargines kopijas.
Problema paveikia įrenginius, kuriuose naudojamas komponentas Supervisor, ir atsirado nuo pirmųjų jo leidimų (nuo 2017 m.). Pavyzdžiui, pažeidžiamumas yra „Home Assistant“ OS ir „Home Assistant Supervised“ aplinkose, tačiau jis neturi įtakos „Home Assistant Container“ („Docker“) ir rankiniu būdu sukurtoms „Python“ aplinkoms, pagrįstoms „Home Assistant Core“.
Pažeidžiamumas ištaisytas naudojant „Home Assistant Supervisor“ versiją 2023.01.1. Į „Home Assistant“ 2023.3.0 leidimą įtrauktas papildomas sprendimas. Sistemose, kuriose neįmanoma įdiegti naujinimo, kad blokuotų pažeidžiamumą, galite apriboti prieigą prie „Home Assistant“ žiniatinklio paslaugos tinklo prievado iš išorinių tinklų.
Pažeidžiamumo išnaudojimo būdas kol kas nėra detalizuotas (pagal kūrėjus, apie 1/3 vartotojų yra įdiegę naujinimą ir daugelis sistemų išlieka pažeidžiamos). Pataisytoje versijoje, prisidengiant optimizavimu, buvo atlikti žetonų ir tarpinių užklausų apdorojimo pakeitimai, taip pat pridėti filtrai, blokuojantys SQL užklausų pakeitimą ir įterpimą. » и использования путей с «../» и «/./».
Šaltinis: opennet.ru