Uma vulnerabilidade crítica (CVE-2023-27482) foi identificada na plataforma de automação residencial de código aberto Home Assistant. Essa vulnerabilidade permite burlar a autenticação e obter acesso total à API privilegiada do Supervisor, que pode ser usada para alterar configurações, instalar/atualizar software, gerenciar complementos e backups.
O problema afeta instalações que utilizam o componente Supervisor e está presente desde os seus lançamentos iniciais (desde 2017). Por exemplo, a vulnerabilidade está presente nos ambientes Home Assistant OS e Home Assistant Supervised, mas não afeta o Home Assistant Container (Docker) ou ambientes Python criados manualmente com base no Home Assistant Core.
A vulnerabilidade foi corrigida na versão 2023.01.1 do Supervisor do Home Assistant. Uma solução alternativa também foi incluída na versão 2023.3.0 do Home Assistant. Em sistemas que não conseguem instalar a correção, o acesso à porta de rede do serviço web do Home Assistant a partir de redes externas pode ser restringido.
O método de exploração da vulnerabilidade ainda não foi detalhado (os desenvolvedores estimam que cerca de um terço dos usuários instalou a atualização e muitos sistemas permanecem vulneráveis). A versão corrigida, sob o pretexto de otimização, introduz alterações no tratamento de tokens e solicitações por proxy, e adiciona filtros para bloquear a substituição de consultas SQL e a inserção de " » и использования путей с «../» и «/./».
Fonte: opennet.ru
