Er is een kritieke kwetsbaarheid (CVE-2023-27482) geïdentificeerd in het open huisautomatiseringsplatform Home Assistant, waarmee u de authenticatie kunt omzeilen en volledige toegang kunt krijgen tot de bevoorrechte Supervisor API, waarmee u instellingen kunt wijzigen, software kunt installeren/bijwerken, beheer add-ons en back-ups.
Het probleem treft installaties die de Supervisor-component gebruiken en doet zich voor sinds de eerste release (sinds 2017). De kwetsbaarheid is bijvoorbeeld aanwezig in de Home Assistant OS- en Home Assistant Supervised-omgevingen, maar heeft geen invloed op Home Assistant Container (Docker) en handmatig aangemaakte Python-omgevingen op basis van Home Assistant Core.
Het beveiligingslek is opgelost in Home Assistant Supervisor versie 2023.01.1. Een extra oplossing is opgenomen in de Home Assistant 2023.3.0-release. Op systemen waarop het niet mogelijk is om de update te installeren om de kwetsbaarheid te blokkeren, kun je de toegang tot de netwerkpoort van de Home Assistant-webservice vanaf externe netwerken beperken.
De methode om de kwetsbaarheid te misbruiken is nog niet gedetailleerd (volgens de ontwikkelaars heeft ongeveer 1/3 van de gebruikers de update geïnstalleerd en blijven veel systemen kwetsbaar). In de gecorrigeerde versie zijn, onder het mom van optimalisatie, wijzigingen aangebracht in de verwerking van tokens en proxy-query's, en zijn er filters toegevoegd om de vervanging van SQL-query's en het invoegen van de " » и использования путей с «../» и «/./».
Bron: opennet.ru
