اوپن ہوم آٹومیشن پلیٹ فارم ہوم اسسٹنٹ میں ایک اہم کمزوری (CVE-2023-27482) کی نشاندہی کی گئی ہے، جو آپ کو توثیق کو نظرانداز کرنے اور مراعات یافتہ سپروائزر API تک مکمل رسائی حاصل کرنے کی اجازت دیتا ہے، جس کے ذریعے آپ سیٹنگز کو تبدیل کر سکتے ہیں، سافٹ ویئر انسٹال/اپ ڈیٹ کر سکتے ہیں، ایڈ آنز اور بیک اپ کا انتظام کریں۔
یہ مسئلہ ان تنصیبات کو متاثر کرتا ہے جو سپروائزر جزو کا استعمال کرتی ہیں اور اس کی پہلی ریلیز کے بعد سے ظاہر ہوئی ہیں (2017 سے)۔ مثال کے طور پر، خطرہ ہوم اسسٹنٹ OS اور ہوم اسسٹنٹ کے زیر نگرانی ماحول میں موجود ہے، لیکن ہوم اسسٹنٹ کنٹینر (Docker) اور ہوم اسسٹنٹ کور کی بنیاد پر دستی طور پر بنائے گئے ازگر کے ماحول کو متاثر نہیں کرتا ہے۔
ہوم اسسٹنٹ سپروائزر ورژن 2023.01.1 میں خطرے کو طے کیا گیا ہے۔ ہوم اسسٹنٹ 2023.3.0 ریلیز میں ایک اضافی حل شامل ہے۔ ان سسٹمز پر جن پر کمزوری کو روکنے کے لیے اپ ڈیٹ انسٹال کرنا ممکن نہیں ہے، آپ ہوم اسسٹنٹ ویب سروس کے نیٹ ورک پورٹ تک بیرونی نیٹ ورکس سے رسائی کو محدود کر سکتے ہیں۔
خطرے سے فائدہ اٹھانے کا طریقہ ابھی تک تفصیل سے نہیں بتایا گیا ہے (ڈویلپرز کے مطابق، تقریباً 1/3 صارفین نے اپ ڈیٹ انسٹال کر لیا ہے اور بہت سے سسٹم کمزور ہیں)۔ تصحیح شدہ ورژن میں، اصلاح کی آڑ میں، ٹوکنز اور پراکسی سوالات کی پروسیسنگ میں تبدیلیاں کی گئی ہیں، اور ایس کیو ایل سوالات کے متبادل کو روکنے کے لیے فلٹرز شامل کیے گئے ہیں اور " » и использования путей с «../» и «/./».
ماخذ: opennet.ru