Athari kubwa (CVE-2023-27482) imetambuliwa katika Msaidizi wa Nyumbani wa mfumo wa otomatiki ulio wazi, ambao hukuruhusu kukwepa uthibitishaji na kupata ufikiaji kamili wa API ya Msimamizi iliyobahatika, ambayo unaweza kubadilisha mipangilio, kusakinisha/kusasisha programu, dhibiti programu jalizi na chelezo.
Tatizo linaathiri usakinishaji unaotumia kipengele cha Msimamizi na limeonekana tangu toleo lake la kwanza (tangu 2017). Kwa mfano, uwezekano wa kuathiriwa upo katika Mazingira ya Mfumo wa Uendeshaji wa Mratibu wa Nyumbani na Mazingira Yanayosimamiwa na Mratibu wa Nyumbani, lakini haiathiri Kontena ya Mratibu wa Nyumbani (Doka) na mazingira ya Chatu yaliyoundwa mwenyewe kulingana na Msingi wa Mratibu wa Nyumbani.
Athari hii imerekebishwa katika toleo la 2023.01.1 la Msimamizi wa Mratibu wa Nyumbani. Suluhu ya ziada imejumuishwa katika toleo la Msaidizi wa Nyumbani 2023.3.0. Kwenye mifumo ambayo haiwezekani kusakinisha sasisho ili kuzuia athari, unaweza kuzuia ufikiaji wa mlango wa mtandao wa huduma ya wavuti ya Mratibu wa Nyumbani kutoka kwa mitandao ya nje.
Mbinu ya kutumia uwezekano wa kuathiriwa bado haijafafanuliwa kwa kina (kulingana na wasanidi programu, takriban 1/3 ya watumiaji wamesakinisha sasisho na mifumo mingi inabaki kuwa hatarini). Katika toleo lililosahihishwa, chini ya kivuli cha utoshelezaji, mabadiliko yamefanywa kwa usindikaji wa ishara na maswali yaliyowekwa, na vichungi vimeongezwa ili kuzuia uingizwaji wa maswali ya SQL na kuingizwa kwa " Β» ΠΈ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΡ ΠΏΡΡΠ΅ΠΉ Ρ Β«../Β» ΠΈ Β«/./Β».
Chanzo: opennet.ru