V otvorenej domácej automatizačnej platforme Home Assistant bola identifikovaná kritická zraniteľnosť (CVE-2023-27482), ktorá vám umožňuje obísť autentifikáciu a získať plný prístup k privilegovanému supervízoru API, prostredníctvom ktorého môžete meniť nastavenia, inštalovať/aktualizovať softvér, spravovať doplnky a zálohy.
Problém sa týka inštalácií, ktoré používajú komponent Supervisor, a objavuje sa od jeho prvých vydaní (od roku 2017). Zraniteľnosť sa napríklad vyskytuje v prostrediach Home Assistant OS a Home Assistant Supervised, ale neovplyvňuje Home Assistant Container (Docker) a manuálne vytvorené prostredia Pythonu založené na Home Assistant Core.
Táto chyba zabezpečenia je opravená vo verzii Home Assistant Supervisor 2023.01.1. Vo vydaní Home Assistant 2023.3.0 je zahrnuté ďalšie riešenie. V systémoch, na ktorých nie je možné nainštalovať aktualizáciu na zablokovanie zraniteľnosti, môžete obmedziť prístup k sieťovému portu webovej služby Home Assistant z externých sietí.
Spôsob využitia zraniteľnosti zatiaľ nebol podrobne popísaný (podľa vývojárov si aktualizáciu nainštalovala asi 1/3 používateľov a mnohé systémy zostávajú zraniteľné). V opravenej verzii boli pod rúškom optimalizácie vykonané zmeny v spracovaní tokenov a proxy dotazov a boli pridané filtre na blokovanie nahrádzania SQL dotazov a vkladania „ » и использования путей с «../» и «/./».
Zdroj: opennet.ru