Uma vulnerabilidade crítica (CVE-2023-27482) foi identificada na plataforma aberta de automação residencial Home Assistant, que permite ignorar a autenticação e obter acesso total à API Supervisor privilegiada, através da qual você pode alterar configurações, instalar/atualizar software, gerenciar complementos e backups.
O problema afeta instalações que utilizam o componente Supervisor e aparece desde seus primeiros lançamentos (desde 2017). Por exemplo, a vulnerabilidade está presente nos ambientes Home Assistant OS e Home Assistant Supervised, mas não afeta o Home Assistant Container (Docker) e os ambientes Python criados manualmente com base no Home Assistant Core.
A vulnerabilidade foi corrigida no Home Assistant Supervisor versão 2023.01.1. Uma solução alternativa adicional está incluída na versão Home Assistant 2023.3.0. Em sistemas nos quais não é possível instalar a atualização para bloquear a vulnerabilidade, você pode restringir o acesso à porta de rede do serviço web Home Assistant de redes externas.
O método de exploração da vulnerabilidade ainda não foi detalhado (segundo os desenvolvedores, cerca de 1/3 dos usuários instalaram a atualização e muitos sistemas permanecem vulneráveis). Na versão corrigida, sob o pretexto de otimização, foram feitas alterações no processamento de tokens e consultas proxy, e foram adicionados filtros para bloquear a substituição de consultas SQL e a inserção do " » и использования путей с «../» и «/./».
Fonte: opennet.ru