Misy vulnerability manan-danja (CVE-2023-27482) hita ao amin'ny sehatra automatique an-trano misokatra Home Assistant, izay ahafahanao mandingana ny fanamarinana ary mahazo fidirana feno amin'ny Supervisor API, izay ahafahanao manova ny toe-javatra, mametraka / manavao ny rindrambaiko, mitantana add-ons sy backups.
Ny olana dia misy fiantraikany amin'ny fametrahana mampiasa ny singa Supervisor ary efa niseho hatramin'ny famoahana azy voalohany (hatramin'ny 2017). Ohatra, ny vulnerability dia hita ao amin'ny Home Assistant OS sy Home Assistant Supervised, saingy tsy misy fiantraikany amin'ny Home Assistant Container (Docker) ary ny tontolo Python noforonina amin'ny tanana mifototra amin'ny Home Assistant Core.
Ny vulnerability dia raikitra ao amin'ny Home Assistant Supervisor version 2023.01.1. Misy vahaolana fanampiny ampidirina ao amin'ny famoahana Home Assistant 2023.3.0. Amin'ny rafitra izay tsy ahafahana mametraka ny fanavaozana hanakanana ny vulnerable dia azonao atao ny mametra ny fidirana amin'ny seranan-tsambon'ny serivisy tranonkala Home Assistant amin'ny tambajotra ivelany.
Ny fomba fanararaotana ny vulnerable dia tsy mbola voafaritra amin'ny antsipiriany (araka ny filazan'ny mpamorona, manodidina ny 1/3 amin'ny mpampiasa no nametraka ny fanavaozana ary maro ny rafitra mbola marefo). Ao amin'ny dikan-teny voahitsy, eo ambanin'ny endrika fanatsarana, dia nisy fiovana natao tamin'ny fanodinana ny famantarana sy ny fangatahana proxy, ary nampiana sivana hanakanana ny fanoloana ny fangatahana SQL sy ny fampidirana ny " Β» ΠΈ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΡ ΠΏΡΡΠ΅ΠΉ Ρ Β«../Β» ΠΈ Β«/./Β».
Source: opennet.ru