ஹோம் அசிஸ்டண்ட் ஓப்பன் ஹோம் ஆட்டோமேஷன் பிளாட்ஃபார்மில் முக்கியமான பாதிப்பு (CVE-2023-27482) கண்டறியப்பட்டுள்ளது, இது அங்கீகாரத்தைத் தவிர்த்து, சலுகை பெற்ற சூப்பர்வைசர் APIக்கான முழு அணுகலைப் பெற அனுமதிக்கிறது, இதன் மூலம் நீங்கள் அமைப்புகளை மாற்றலாம், மென்பொருளை நிறுவலாம்/புதுப்பிக்கலாம், சேர்வை நிர்வகிக்கலாம் -ஆன்கள் மற்றும் காப்புப்பிரதிகள்.
மேற்பார்வையாளர் கூறுகளைப் பயன்படுத்தும் நிறுவல்களை இந்தச் சிக்கல் பாதிக்கிறது மற்றும் அதன் முதல் வெளியீடுகளிலிருந்து (2017 முதல்) உள்ளது. எடுத்துக்காட்டாக, ஹோம் அசிஸ்டெண்ட் ஓஎஸ் மற்றும் ஹோம் அசிஸ்டண்ட் கண்காணிக்கப்படும் சூழல்களில் பாதிப்பு உள்ளது, ஆனால் ஹோம் அசிஸ்டண்ட் கன்டெய்னர் (டாக்கர்) மற்றும் ஹோம் அசிஸ்டண்ட் கோர் அடிப்படையில் கைமுறையாக உருவாக்கப்பட்ட பைதான் சூழல்களைப் பாதிக்காது.
வீட்டு உதவி மேற்பார்வையாளர் பதிப்பு 2023.01.1 இல் பாதிப்பு சரி செய்யப்பட்டது. ஹோம் அசிஸ்டண்ட் 2023.3.0 வெளியீட்டில் கூடுதல் பாதுகாப்பு பைபாஸ் விருப்பம் சேர்க்கப்பட்டுள்ளது. பாதிப்பைத் தடுக்க புதுப்பிப்பை நிறுவத் தவறிய கணினிகளில், வெளிப்புற நெட்வொர்க்குகளிலிருந்து ஹோம் அசிஸ்டண்ட் வலைச் சேவையின் நெட்வொர்க் போர்ட்டிற்கான அணுகலை நீங்கள் கட்டுப்படுத்தலாம்.
பாதிப்பை சுரண்டுவதற்கான முறை இன்னும் விரிவாக இல்லை (டெவலப்பர்களின் கூற்றுப்படி, சுமார் 1/3 பயனர்கள் புதுப்பிப்பை நிறுவியுள்ளனர் மற்றும் பல அமைப்புகள் பாதிக்கப்படக்கூடியவையாகவே இருக்கின்றன). திருத்தப்பட்ட பதிப்பில், தேர்வுமுறை என்ற போர்வையில், டோக்கன்கள் மற்றும் ப்ராக்ஸி கோரிக்கைகளின் செயலாக்கத்தில் மாற்றங்கள் செய்யப்பட்டன, மேலும் SQL வினவல்களை மாற்றுவதைத் தடுக்க வடிப்பான்கள் சேர்க்கப்பட்டு, குறிச்சொல்லைச் செருகுகின்றன. » и использования путей с «../» и «/./».
ஆதாரம்: opennet.ru