Một lỗ hổng nghiêm trọng (CVE-2023-27482) đã được xác định trong nền tảng tự động hóa nhà mở Home Assistant, cho phép bạn bỏ qua xác thực và có toàn quyền truy cập vào API giám sát đặc quyền, qua đó bạn có thể thay đổi cài đặt, cài đặt/cập nhật phần mềm, quản lý các tiện ích bổ sung và bản sao lưu.
Sự cố ảnh hưởng đến các bản cài đặt sử dụng thành phần Giám sát và đã xuất hiện kể từ lần phát hành đầu tiên (kể từ năm 2017). Ví dụ: lỗ hổng này xuất hiện trong hệ điều hành Home Assistant và môi trường Home Assistant Assisted, nhưng không ảnh hưởng đến Home Assistant Container (Docker) và môi trường Python được tạo thủ công dựa trên Home Assistant Core.
Lỗ hổng đã được khắc phục trong phiên bản Home Assistant Giám sát 2023.01.1. Một giải pháp thay thế bổ sung được bao gồm trong bản phát hành Home Assistant 2023.3.0. Trên các hệ thống không thể cài đặt bản cập nhật để chặn lỗ hổng bảo mật, bạn có thể hạn chế quyền truy cập vào cổng mạng của dịch vụ web Home Assistant từ mạng bên ngoài.
Phương pháp khai thác lỗ hổng vẫn chưa được chi tiết (theo các nhà phát triển, khoảng 1/3 người dùng đã cài đặt bản cập nhật và nhiều hệ thống vẫn còn tồn tại lỗ hổng). Trong phiên bản đã sửa, dưới chiêu bài tối ưu hóa, các thay đổi đã được thực hiện đối với việc xử lý mã thông báo và truy vấn ủy quyền, đồng thời các bộ lọc đã được thêm vào để chặn việc thay thế các truy vấn SQL và chèn " » и использования путей с «../» и «/./».
Nguồn: opennet.ru