Një cenueshmëri kritike (CVE-2023-27482) është identifikuar në platformën e hapur të automatizimit të shtëpisë Home Assistant, e cila ju lejon të anashkaloni vërtetimin dhe të fitoni akses të plotë në API-në e privilegjuar të Mbikëqyrësit, përmes së cilës mund të ndryshoni cilësimet, të instaloni/përditësoni softuerin, menaxhoni shtesat dhe kopjet rezervë.
Problemi prek instalimet që përdorin komponentin Mbikëqyrës dhe është shfaqur që nga publikimet e tij të para (që nga viti 2017). Për shembull, cenueshmëria është e pranishme në mjediset Home Assistant OS dhe Home Assistant të mbikëqyrur, por nuk ndikon në kontejnerin e Home Assistant (Docker) dhe mjediset e krijuara manualisht në Python bazuar në Home Assistant Core.
Dobësia është rregulluar në versionin 2023.01.1 të Home Assistant Supervisor. Një zgjidhje shtesë është përfshirë në versionin Home Assistant 2023.3.0. Në sistemet në të cilat nuk është e mundur të instaloni përditësimin për të bllokuar cenueshmërinë, mund të kufizoni hyrjen në portin e rrjetit të shërbimit të uebit Home Assistant nga rrjetet e jashtme.
Metoda e shfrytëzimit të dobësisë ende nuk është detajuar (sipas zhvilluesve, rreth 1/3 e përdoruesve kanë instaluar përditësimin dhe shumë sisteme mbeten të cenueshme). Në versionin e korrigjuar, nën maskën e optimizimit, janë bërë ndryshime në përpunimin e argumenteve dhe pyetjeve proksi, dhe janë shtuar filtra për të bllokuar zëvendësimin e pyetjeve SQL dhe futjen e " » и использования путей с «../» и «/./».
Burimi: opennet.ru