En kritisk sårbarhet (CVE-2023-27482) er identifisert i den åpne hjemmeautomatiseringsplattformen Home Assistant, som lar deg omgå autentisering og få full tilgang til det privilegerte Supervisor API, som du kan endre innstillinger, installere/oppdatere programvare, administrere tillegg og sikkerhetskopier.
Problemet påvirker installasjoner som bruker Supervisor-komponenten og har dukket opp siden de første utgivelsene (siden 2017). For eksempel er sårbarheten tilstede i Home Assistant OS og Home Assistant Supervised-miljøene, men påvirker ikke Home Assistant Container (Docker) og manuelt opprettede Python-miljøer basert på Home Assistant Core.
Sårbarheten er løst i Home Assistant Supervisor versjon 2023.01.1. En ekstra løsning er inkludert i Home Assistant 2023.3.0-utgivelsen. På systemer der det ikke er mulig å installere oppdateringen for å blokkere sårbarheten, kan du begrense tilgangen til nettverksporten til Home Assistant-netttjenesten fra eksterne nettverk.
Metoden for å utnytte sårbarheten er ennå ikke detaljert (ifølge utviklerne har omtrent 1/3 av brukerne installert oppdateringen og mange systemer er fortsatt sårbare). I den korrigerte versjonen, under dekke av optimalisering, er det gjort endringer i behandlingen av tokens og proxy-søk, og filtre er lagt til for å blokkere erstatning av SQL-spørringer og innsetting av " » и использования путей с «../» и «/./».
Kilde: opennet.ru