هڪ نازڪ ڪمزوري (CVE-2023-27482) جي نشاندهي ڪئي وئي آهي اوپن هوم آٽوميشن پليٽ فارم هوم اسسٽنٽ، جيڪا توهان کي اجازت ڏئي ٿي تصديق کي نظرانداز ڪرڻ ۽ مراعات يافته سپروائيزر API تائين مڪمل رسائي حاصل ڪرڻ جي، جنهن ذريعي توهان سيٽنگون تبديل ڪري سگهو ٿا، سافٽ ويئر انسٽال/اپڊيٽ ڪري سگهو ٿا، اضافو ۽ بيڪ اپ منظم ڪريو.
مسئلو تنصيب کي متاثر ڪري ٿو جيڪي سپروائيزر جزو استعمال ڪن ٿا ۽ ظاهر ٿيو آهي ان جي پهرين رليز کان وٺي (2017 کان). مثال طور، گھربل اسسٽنٽ او ايس ۽ ھوم اسسٽنٽ نگران ماحول ۾ موجود آھي، پر ھوم اسسٽنٽ ڪنٽينر (ڊاڪر) ۽ دستي طور تي گھر جي اسسٽنٽ ڪور جي بنياد تي ٺاھيل پٿون ماحول کي متاثر نٿو ڪري.
گھر جي اسسٽنٽ سپروائيزر ورزن 2023.01.1 ۾ خطري کي مقرر ڪيو ويو آھي. گھر جي اسسٽنٽ 2023.3.0 رليز ۾ ھڪڙو اضافي ڪم شامل آھي. سسٽم تي جن تي نقصان کي بلاڪ ڪرڻ لاء اپڊيٽ کي انسٽال ڪرڻ ممڪن ناهي، توهان خارجي نيٽ ورڪن کان گهر اسسٽنٽ ويب سروس جي نيٽ ورڪ پورٽ تائين رسائي کي محدود ڪري سگهو ٿا.
خطري جي استحصال جو طريقو اڃا تائين تفصيلي نه ڪيو ويو آهي (ڊولپرز جي مطابق، تقريبا 1/3 استعمال ڪندڙن جي تازه ڪاري کي نصب ڪيو آهي ۽ ڪيترائي سسٽم محفوظ آهن). درست ڪيل ورزن ۾، اصلاح جي آڙ ۾، ٽوڪن ۽ پراڪس ٿيل سوالن جي پروسيسنگ ۾ تبديليون ڪيون ويون آهن، ۽ SQL سوالن جي متبادل کي بلاڪ ڪرڻ لاءِ فلٽر شامل ڪيا ويا آهن ۽ " » и использования путей с «../» и «/./».
جو ذريعو: opennet.ru