Ġiet identifikata vulnerabbiltà kritika (CVE-2023-27482) fil-pjattaforma miftuħa tal-awtomazzjoni tad-dar Home Assistant, li tippermettilek tevita l-awtentikazzjoni u tikseb aċċess sħiħ għall-API Supervisor privileġġjat, li permezz tagħha tista’ tibdel is-settings, tinstalla/taġġorna s-softwer, jimmaniġġjaw add-ons u backups.
Il-problema taffettwa installazzjonijiet li jużaw il-komponent Supervisor u dehret mill-ewwel rilaxxi tagħha (mill-2017). Pereżempju, il-vulnerabbiltà hija preżenti fl-ambjenti Home Assistant OS u Home Assistant Supervised, iżda ma taffettwax Home Assistant Container (Docker) u ambjenti Python maħluqa manwalment ibbażati fuq Home Assistant Core.
Il-vulnerabbiltà hija ffissata fil-verżjoni tal-Kontrollur tal-Assistent tad-Dar 2023.01.1. Soluzzjoni addizzjonali hija inkluża fir-rilaxx Home Assistant 2023.3.0. Fuq sistemi li fuqhom mhuwiex possibbli li tinstalla l-aġġornament biex timblokka l-vulnerabbiltà, tista 'tillimita l-aċċess għall-port tan-netwerk tas-servizz tal-web Home Assistant minn netwerks esterni.
Il-metodu tal-isfruttament tal-vulnerabbiltà għadu ma ġiex dettaljat (skont l-iżviluppaturi, madwar 1/3 tal-utenti installaw l-aġġornament u ħafna sistemi jibqgħu vulnerabbli). Fil-verżjoni kkoreġuta, taħt l-iskuża ta 'ottimizzazzjoni, saru bidliet fl-ipproċessar ta' tokens u mistoqsijiet prokurati, u ġew miżjuda filtri biex jimblukkaw is-sostituzzjoni ta 'mistoqsijiet SQL u l-inserzjoni tal-" » и использования путей с «../» и «/./».
Sors: opennet.ru