У відкритій платформі домашньої автоматизації Home Assistant виявлено критичну вразливість (CVE-2023-27482), що дозволяє обійти аутентифікацію та отримати повний доступ до привілейованого API Supervisor, через який можна змінювати налаштування, встановлювати/оновлювати ПЗ, керувати доповненнями та резервними.
Проблема стосується установок, в яких використовується компонент Supervisor і з'являється на починаючи з перших його випусків (з 2017 року). Наприклад, вразливість присутня в оточеннях Home Assistant OS і Home Assistant Supervised, але не торкається Home Assistant Container (Docker) і створених Python-оточень на базі Home Assistant Core.
Уразливість усунена у версії Home Assistant Supervisor 2023.01.1. Додатково обхідний варіант захисту включено до складу випуску Home Assistant 2023.3.0. На системах, на яких не вдається встановити оновлення для блокування вразливості, можна обмежити доступ до мережного порту web-сервісу Home Assistant із зовнішніх мереж.
Метод експлуатації вразливості поки що не деталізується (за оцінкою розробників близько 1/3 користувачів встановили оновлення і багато систем залишаються вразливими). У виправленій версії під виглядом оптимізації внесені зміни в обробку токенів і запитів, що проксуються, а також додані фільтри для блокування підстановки SQL-запитів, вставки тега « » и использования путей с «../» и «/./».
Джерело: opennet.ru