มีการระบุช่องโหว่ร้ายแรง (CVE-2023-27482) ในแพลตฟอร์ม Home Assistant แพลตฟอร์มระบบอัตโนมัติในบ้านแบบเปิด ซึ่งช่วยให้คุณข้ามการรับรองความถูกต้องและเข้าถึง Supervisor API ที่ได้รับสิทธิพิเศษได้อย่างเต็มที่ ซึ่งคุณสามารถเปลี่ยนการตั้งค่า ติดตั้ง/อัปเดตซอฟต์แวร์ จัดการส่วนเสริมและการสำรองข้อมูล
ปัญหาส่งผลกระทบต่อการติดตั้งที่ใช้ส่วนประกอบ Supervisor และปรากฏขึ้นตั้งแต่เปิดตัวครั้งแรก (ตั้งแต่ปี 2017) ตัวอย่างเช่น มีช่องโหว่อยู่ในสภาพแวดล้อม Home Assistant OS และ Home Assistant Supervised แต่ไม่ส่งผลกระทบต่อ Home Assistant Container (Docker) และสภาพแวดล้อม Python ที่สร้างขึ้นด้วยตนเองตาม Home Assistant Core
ช่องโหว่นี้ได้รับการแก้ไขแล้วใน Home Assistant Supervisor เวอร์ชัน 2023.01.1 วิธีแก้ไขปัญหาชั่วคราวเพิ่มเติมรวมอยู่ใน Home Assistant รุ่น 2023.3.0 ในระบบที่ไม่สามารถติดตั้งการอัปเดตเพื่อป้องกันช่องโหว่ได้ คุณสามารถจำกัดการเข้าถึงพอร์ตเครือข่ายของบริการเว็บ Home Assistant จากเครือข่ายภายนอกได้
วิธีการใช้ประโยชน์จากช่องโหว่นี้ยังไม่มีรายละเอียด (ตามที่นักพัฒนาระบุว่า ผู้ใช้ประมาณ 1/3 ได้ติดตั้งการอัปเดตแล้ว และหลายระบบยังคงมีช่องโหว่อยู่) ในเวอร์ชันที่ได้รับการแก้ไข ภายใต้หน้ากากของการเพิ่มประสิทธิภาพ มีการเปลี่ยนแปลงในการประมวลผลโทเค็นและการสืบค้นพร็อกซี และมีการเพิ่มตัวกรองเพื่อบล็อกการทดแทนการสืบค้น SQL และการแทรก " » и использования путей с «../» и «/./».
ที่มา: opennet.ru