ఓపెన్ హోమ్ ఆటోమేషన్ ప్లాట్ఫారమ్ హోమ్ అసిస్టెంట్లో క్లిష్టమైన దుర్బలత్వం (CVE-2023-27482) గుర్తించబడింది, ఇది ప్రామాణీకరణను దాటవేయడానికి మరియు ప్రత్యేక సూపర్వైజర్ APIకి పూర్తి ప్రాప్యతను పొందడానికి మిమ్మల్ని అనుమతిస్తుంది, దీని ద్వారా మీరు సెట్టింగ్లను మార్చవచ్చు, సాఫ్ట్వేర్ను ఇన్స్టాల్ చేయవచ్చు/నవీకరించవచ్చు, యాడ్-ఆన్లు మరియు బ్యాకప్లను నిర్వహించండి.
సమస్య సూపర్వైజర్ కాంపోనెంట్ని ఉపయోగించే ఇన్స్టాలేషన్లను ప్రభావితం చేస్తుంది మరియు దాని మొదటి విడుదలల నుండి (2017 నుండి) కనిపించింది. ఉదాహరణకు, హోమ్ అసిస్టెంట్ OS మరియు హోమ్ అసిస్టెంట్ పర్యవేక్షించబడే పరిసరాలలో ఈ దుర్బలత్వం ఉంది, కానీ హోమ్ అసిస్టెంట్ కంటైనర్ (డాకర్) మరియు హోమ్ అసిస్టెంట్ కోర్ ఆధారంగా మాన్యువల్గా సృష్టించబడిన పైథాన్ పరిసరాలపై ప్రభావం చూపదు.
హోమ్ అసిస్టెంట్ సూపర్వైజర్ వెర్షన్ 2023.01.1లో దుర్బలత్వం పరిష్కరించబడింది. హోమ్ అసిస్టెంట్ 2023.3.0 విడుదలలో అదనపు ప్రత్యామ్నాయం చేర్చబడింది. హానిని నిరోధించడానికి అప్డేట్ను ఇన్స్టాల్ చేయడం సాధ్యం కాని సిస్టమ్లలో, మీరు బాహ్య నెట్వర్క్ల నుండి హోమ్ అసిస్టెంట్ వెబ్ సర్వీస్ యొక్క నెట్వర్క్ పోర్ట్కు యాక్సెస్ని పరిమితం చేయవచ్చు.
దుర్బలత్వాన్ని ఉపయోగించుకునే పద్ధతి ఇంకా వివరించబడలేదు (డెవలపర్ల ప్రకారం, దాదాపు 1/3 మంది వినియోగదారులు అప్డేట్ను ఇన్స్టాల్ చేసారు మరియు చాలా సిస్టమ్లు హాని కలిగిస్తాయి). సరిదిద్దబడిన సంస్కరణలో, ఆప్టిమైజేషన్ ముసుగులో, టోకెన్లు మరియు ప్రాక్సీడ్ క్వెరీల ప్రాసెసింగ్లో మార్పులు చేయబడ్డాయి మరియు SQL ప్రశ్నల ప్రత్యామ్నాయాన్ని మరియు ఇన్సర్ట్ను నిరోధించడానికి ఫిల్టర్లు జోడించబడ్డాయి. » и использования путей с «../» и «/./».
మూలం: opennet.ru