သင်သည် စစ်မှန်ကြောင်းအထောက်အထားကိုကျော်ဖြတ်ကာ အခွင့်ထူးခံ Supervisor API သို့ အပြည့်အဝဝင်ရောက်ခွင့်ရရှိနိုင်စေသည့်ဖွင့်ထားသောအိမ်အလိုအလျောက်စနစ်သုံးပလပ်ဖောင်း Home Assistant တွင် အရေးပါသောအားနည်းချက်တစ်ခု (CVE-2023-27482) ကိုရှာဖွေတွေ့ရှိခဲ့ပြီး၊ သင်က ဆက်တင်များကိုပြောင်းလဲနိုင်သည်၊ ဆော့ဖ်ဝဲလ်ထည့်သွင်း/အပ်ဒိတ်လုပ်နိုင်ပါသည်။ အပိုပရိုဂရမ်များနှင့် အရန်သိမ်းဆည်းမှုများကို စီမံပါ။
ပြဿနာသည် Supervisor အစိတ်အပိုင်းကို အသုံးပြုသည့် တပ်ဆင်မှုများအပေါ် သက်ရောက်မှုရှိပြီး ၎င်း၏ ပထမဆုံးထုတ်လွှတ်မှု (2017 ကတည်းက) ပေါ်ပေါက်လာခဲ့သည်။ ဥပမာအားဖြင့်၊ အားနည်းချက်သည် Home Assistant OS နှင့် Home Assistant ကြီးကြပ်ထားသော ပတ်ဝန်းကျင်များတွင် ရှိနေသော်လည်း Home Assistant Container (Docker) နှင့် Home Assistant Core ကို အခြေခံ၍ ကိုယ်တိုင်ဖန်တီးထားသော Python ပတ်ဝန်းကျင်များကို မထိခိုက်စေပါ။
အားနည်းချက်ကို Home Assistant Supervisor ဗားရှင်း 2023.01.1 တွင် ပြင်ဆင်ထားပါသည်။ Home Assistant 2023.3.0 ထွက်ရှိမှုတွင် နောက်ထပ်ဖြေရှင်းနည်းတစ်ခု ပါဝင်သည်။ အားနည်းချက်ကို ပိတ်ဆို့ရန် အပ်ဒိတ်ကို ထည့်သွင်း၍မရသော စနစ်များတွင်၊ သင်သည် ပြင်ပကွန်ရက်များမှ Home Assistant ဝဘ်ဝန်ဆောင်မှု၏ ကွန်ရက်ဆိပ်ကမ်းသို့ ဝင်ရောက်ခွင့်ကို ကန့်သတ်နိုင်သည်။
အားနည်းချက်ကို အသုံးချခြင်းနည်းလမ်းကို အသေးစိတ်မသိရှိရသေးပါ ( developer များအဆိုအရ၊ အသုံးပြုသူ 1/3 ခန့်သည် အပ်ဒိတ်ကို ထည့်သွင်းပြီး စနစ်များစွာသည် အားနည်းချက်ကျန်ရှိနေဆဲဖြစ်သည်)။ ပြုပြင်ထားသောဗားရှင်းတွင်၊ ပိုမိုကောင်းမွန်အောင်ပြုလုပ်ခြင်း၏အသွင်အပြင်အောက်တွင်၊ တိုကင်များနှင့် proxyed queries များလုပ်ဆောင်ခြင်းအတွက် အပြောင်းအလဲများပြုလုပ်ထားပြီး SQL queries ၏အစားထိုးခြင်းနှင့် "ထည့်သွင်းခြင်းတို့ကိုပိတ်ဆို့ရန်အတွက် filter များကိုထည့်သွင်းထားသည်။ » и использования путей с «../» и «/./».
source: opennet.ru