O vulnerabilitate critică (CVE-2023-27482) a fost identificată în platforma deschisă de automatizare a locuinței Home Assistant, care vă permite să ocoliți autentificarea și să obțineți acces deplin la API-ul Supervisor privilegiat, prin care puteți modifica setările, instala/actualiza software-ul, gestionați suplimente și copii de rezervă.
Problema afectează instalațiile care folosesc componenta Supervisor și a apărut încă de la primele sale versiuni (din 2017). De exemplu, vulnerabilitatea este prezentă în mediile Home Assistant OS și Home Assistant Supervised, dar nu afectează Home Assistant Container (Docker) și mediile Python create manual bazate pe Home Assistant Core.
Vulnerabilitatea este remediată în Home Assistant Supervisor versiunea 2023.01.1. O soluție suplimentară este inclusă în versiunea Home Assistant 2023.3.0. Pe sistemele pe care nu este posibilă instalarea actualizării pentru a bloca vulnerabilitatea, puteți restricționa accesul la portul de rețea al serviciului web Home Assistant din rețele externe.
Metoda de exploatare a vulnerabilității nu a fost încă detaliată (conform dezvoltatorilor, aproximativ 1/3 dintre utilizatori au instalat actualizarea și multe sisteme rămân vulnerabile). În versiunea corectată, sub pretextul optimizării, s-au făcut modificări în procesarea token-urilor și a interogărilor proxy și au fost adăugate filtre pentru a bloca înlocuirea interogărilor SQL și inserarea " » и использования путей с «../» и «/./».
Sursa: opennet.ru