Ang isang kritikal na kahinaan (CVE-2023-27482) ay natukoy sa open home automation platform na Home Assistant, na nagbibigay-daan sa iyong i-bypass ang pagpapatotoo at makakuha ng ganap na access sa privileged Supervisor API, kung saan maaari mong baguhin ang mga setting, i-install/i-update ang software, pamahalaan ang mga add-on at backup.
Nakakaapekto ang problema sa mga pag-install na gumagamit ng bahagi ng Supervisor at lumitaw mula noong unang paglabas nito (mula noong 2017). Halimbawa, ang kahinaan ay naroroon sa Home Assistant OS at Home Assistant Supervised environment, ngunit hindi nakakaapekto sa Home Assistant Container (Docker) at manu-manong ginawang Python environment batay sa Home Assistant Core.
Ang kahinaan ay naayos sa Home Assistant Supervisor na bersyon 2023.01.1. May kasamang karagdagang workaround sa paglabas ng Home Assistant 2023.3.0. Sa mga system kung saan hindi posibleng i-install ang update upang harangan ang kahinaan, maaari mong paghigpitan ang pag-access sa network port ng serbisyo sa web ng Home Assistant mula sa mga panlabas na network.
Ang paraan ng pagsasamantala sa kahinaan ay hindi pa detalyado (ayon sa mga developer, humigit-kumulang 1/3 ng mga user ang nag-install ng update at maraming mga system ang nananatiling mahina). Sa itinamang bersyon, sa ilalim ng pagkukunwari ng pag-optimize, ang mga pagbabago ay ginawa sa pagproseso ng mga token at proxied na mga query, at ang mga filter ay idinagdag upang harangan ang pagpapalit ng mga query sa SQL at ang pagpasok ng " Β» ΠΈ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΡ ΠΏΡΡΠ΅ΠΉ Ρ Β«../Β» ΠΈ Β«/./Β».
Pinagmulan: opennet.ru