Kerentanan kritis (CVE-2023-27482) parantos diidentifikasi dina platform otomatisasi bumi kabuka Asisten Imah, anu ngamungkinkeun anjeun ngaliwat auténtikasi sareng kéngingkeun aksés pinuh kana API Pengawas anu mulya, dimana anjeun tiasa ngarobih setélan, masang / ngapdet parangkat lunak, ngatur tambihan sareng cadangan.
Masalahna mangaruhan pamasangan anu nganggo komponén Supervisor sareng parantos muncul ti mimiti rilis (ti 2017). Salaku conto, kerentananna aya dina lingkungan OS Asisten Imah sareng Asisten Imah, tapi henteu mangaruhan Wadah Asisten Imah (Docker) sareng lingkungan Python anu diciptakeun sacara manual dumasar kana Inti Asisten Imah.
Kerentanan dibenerkeun dina Home Assistant Supervisor versi 2023.01.1. Workaround tambahan kalebet dina sékrési Home Assistant 2023.3.0. Dina sistem anu teu mungkin pikeun masang apdet pikeun meungpeuk kerentanan, anjeun tiasa ngabatesan aksés ka port jaringan jasa wéb Asisten Imah tina jaringan éksternal.
Métode ngamangpaatkeun kerentanan henteu acan diwincik (nurutkeun pamekar, sakitar 1/3 pangguna parantos masang pembaruan sareng seueur sistem tetep rentan). Dina versi anu dilereskeun, dina kedok optimasi, parobihan parantos dilakukeun pikeun ngolah token sareng pamundut proksi, sareng saringan parantos ditambah pikeun meungpeuk substitusi query SQL sareng sisipan " » и использования путей с «../» и «/./».
sumber: opennet.ru