Atvērtajā mājas automatizācijas platformā Home Assistant ir konstatēta kritiska ievainojamība (CVE-2023-27482), kas ļauj apiet autentifikāciju un iegūt pilnu piekļuvi priviliģētajam Supervisor API, caur kuru var mainīt iestatījumus, instalēt/atjaunināt programmatūru, pārvaldīt papildinājumus un dublējumus.
Problēma skar instalācijas, kurās tiek izmantots komponents Supervisor, un tā ir parādījusies kopš tā pirmajiem izlaidumiem (kopš 2017. gada). Piemēram, ievainojamība ir atrodama Home Assistant OS un Home Assistant uzraudzītās vidēs, taču tā neietekmē Home Assistant Container (Docker) un manuāli izveidotas Python vides, kuru pamatā ir Home Assistant Core.
Ievainojamība ir novērsta Home Assistant Supervisor versijā 2023.01.1. Papildu risinājums ir iekļauts Home Assistant 2023.3.0 laidienā. Sistēmās, kurās nav iespējams instalēt atjauninājumu, lai bloķētu ievainojamību, varat ierobežot piekļuvi tīmekļa pakalpojuma Home Assistant tīkla portam no ārējiem tīkliem.
Ievainojamības izmantošanas metode vēl nav detalizēti aprakstīta (pēc izstrādātāju domām, aptuveni 1/3 lietotāju ir instalējuši atjauninājumu un daudzas sistēmas joprojām ir neaizsargātas). Labotajā versijā optimizācijas aizsegā ir veiktas izmaiņas marķieru un starpniekservera vaicājumu apstrādē, un ir pievienoti filtri, kas bloķē SQL vaicājumu aizstāšanu un " » и использования путей с «../» и «/./».
Avots: opennet.ru