Критична рањивост (ЦВЕ-2023-27482) је идентификована у отвореној платформи кућне аутоматизације Хоме Ассистант, која вам омогућава да заобиђете аутентификацију и добијете пун приступ привилегованом Супервизор АПИ-ју, преко којег можете мењати подешавања, инсталирати/ажурирати софтвер, управљати додацима и резервним копијама.
Проблем утиче на инсталације које користе компоненту Супервизор и појављује се од њених првих издања (од 2017.). На пример, рањивост је присутна у окружењу Хоме Ассистант ОС и Хоме Ассистант Супервисед, али не утиче на Хоме Ассистант Цонтаинер (Доцкер) и ручно креирана Питхон окружења заснована на Хоме Ассистант Цоре-у.
Рањивост је исправљена у Хоме Ассистант Супервисор верзији 2023.01.1. Додатно решење је укључено у издање Хоме Ассистант 2023.3.0. На системима на којима није могуће инсталирати ажурирање да бисте блокирали рањивост, можете ограничити приступ мрежном порту веб услуге Хоме Ассистант са спољних мрежа.
Начин искоришћавања рањивости још увек није детаљно објашњен (према речима програмера, око 1/3 корисника је инсталирало ажурирање и многи системи су и даље рањиви). У исправљеној верзији, под маском оптимизације, унете су измене у обраду токена и прокси упита, а додати су и филтери који блокирају замену СКЛ упита и уметање „ » и использования путей с «../» и «/./».
Извор: опеннет.ру