V odprti platformi za avtomatizacijo doma Home Assistant je bila ugotovljena kritična ranljivost (CVE-2023-27482), ki vam omogoča, da obidete avtentikacijo in pridobite popoln dostop do privilegiranega API-ja Supervisor, prek katerega lahko spreminjate nastavitve, nameščate/posodabljate programsko opremo, upravljanje dodatkov in varnostnih kopij.
Težava vpliva na namestitve, ki uporabljajo komponento Supervisor in se pojavlja od njenih prvih izdaj (od leta 2017). Na primer, ranljivost je prisotna v Home Assistant OS in Home Assistant Supervised okoljih, vendar ne vpliva na Home Assistant Container (Docker) in ročno ustvarjena okolja Python, ki temeljijo na Home Assistant Core.
Ranljivost je odpravljena v različici Home Assistant Supervisor 2023.01.1. Dodatna rešitev je vključena v izdajo Home Assistant 2023.3.0. V sistemih, v katerih ni mogoče namestiti posodobitve za blokiranje ranljivosti, lahko omejite dostop do omrežnih vrat spletne storitve Home Assistant iz zunanjih omrežij.
Metoda izkoriščanja ranljivosti še ni podrobno opredeljena (po navedbah razvijalcev je približno 1/3 uporabnikov namestila posodobitev in številni sistemi ostajajo ranljivi). V popravljeni različici so pod krinko optimizacije spremenjene obdelave žetonov in posredniških poizvedb ter dodani filtri, ki blokirajo zamenjavo SQL poizvedb in vstavljanje " » и использования путей с «../» и «/./».
Vir: opennet.ru