Kerentanan kritikal (CVE-2023-27482) telah dikenal pasti dalam platform automasi rumah terbuka Pembantu Rumah, yang membolehkan memintas pengesahan dan mendapat akses penuh kepada API Penyelia istimewa, yang melaluinya anda boleh menukar tetapan, memasang / mengemas kini perisian, mengurus tambah -on dan sandaran.
Isu ini mempengaruhi pemasangan yang menggunakan komponen Penyelia dan telah wujud sejak keluaran pertamanya (sejak 2017). Contohnya, kerentanan hadir dalam persekitaran Home Assistant OS dan Home Assistant Supervised, tetapi tidak menjejaskan Home Assistant Container (Docker) dan persekitaran Python yang dibuat secara manual berdasarkan Home Assistant Core.
Kerentanan telah diperbaiki dalam Penyelia Pembantu Rumah versi 2023.01.1. Pilihan pintasan keselamatan tambahan disertakan dalam keluaran Home Assistant 2023.3.0. Pada sistem yang gagal memasang kemas kini untuk menyekat kelemahan, anda boleh menyekat akses kepada port rangkaian perkhidmatan web Home Assistant daripada rangkaian luaran.
Kaedah eksploitasi kelemahan masih belum diperincikan (menurut pembangun, kira-kira 1/3 pengguna telah memasang kemas kini dan banyak sistem kekal terdedah). Dalam versi yang diperbetulkan, di bawah samaran pengoptimuman, perubahan telah dibuat pada pemprosesan token dan permintaan proksi, dan penapis telah ditambahkan untuk menyekat penggantian pertanyaan SQL, memasukkan teg " Β» ΠΈ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΡ ΠΏΡΡΠ΅ΠΉ Ρ Β«../Β» ΠΈ Β«/./Β».
Sumber: opennet.ru