Дар платформаи автоматикунонии хонагии кушодаи Home Assistant осебпазирии интиқодӣ (CVE-2023-27482) муайян карда шуд, ки имкон медиҳад, ки аутентификатсияро гузарад ва дастрасии пурра ба API-и имтиёзноки Supervisor ба даст оред, ки тавассути он шумо метавонед танзимотҳоро тағир диҳед, нармафзорро насб кунед / навсозӣ кунед, иловаҳоро идора кунед. -онҳо ва нусхаҳои эҳтиётӣ.
Ин масъала ба насбҳое дахл дорад, ки ҷузъи Supervisor -ро истифода мебаранд ва аз замони нашри аввалини он (аз соли 2017) мавҷуд аст. Масалан, осебпазирӣ дар муҳитҳои назоратшавандаи Home Assistant OS ва Home Assistant мавҷуд аст, аммо ба Home Assistant Container (Docker) ва муҳити дастӣ сохташудаи Python дар асоси Home Assistant Core таъсир намерасонад.
Ин осебпазирӣ дар версияи Home Assistant Supervisor 2023.01.1 ислоҳ шудааст. Дар нашри Home Assistant 2023.3.0 варианти иловагии гузариш ба амният дохил карда шудааст. Дар системаҳое, ки навсозиро барои бастани осебпазирӣ насб карда наметавонанд, шумо метавонед дастрасӣ ба порти шабакаи хидматрасонии Home Assistant-ро аз шабакаҳои беруна маҳдуд кунед.
Усули истифодабарии осебпазирӣ ҳанӯз муфассал шарҳ дода нашудааст (ба гуфтаи таҳиягарон, тақрибан 1/3 корбарон навсозиро насб кардаанд ва бисёр системаҳо осебпазир боқӣ мемонанд). Дар версияи ислоҳшуда, зери ниқоби оптимизатсия, ба коркарди токенҳо ва дархостҳои проксиӣ тағирот ворид карда шуданд ва филтрҳо барои бастани иваз кардани дархостҳои SQL бо ворид кардани тег илова карда шуданд. » и использования путей с «../» и «/./».
Манбаъ: opennet.ru