开放式家庭自动化平台 Home Assistant 中发现了一个严重漏洞 (CVE-2023-27482),该漏洞允许您绕过身份验证并获得对特权 Supervisor API 的完全访问权限,通过该漏洞您可以更改设置、安装/更新软件、管理附加组件和备份。
该问题影响使用 Supervisor 组件的安装,并且自其第一个版本(自 2017 年起)以来就出现了。 例如,该漏洞存在于Home Assistant操作系统和Home Assistant监督环境中,但不影响Home Assistant容器(Docker)和基于Home Assistant Core手动创建的Python环境。
该漏洞已在 Home Assistant Supervisor 版本 2023.01.1 中修复。 Home Assistant 2023.3.0 版本中包含一个额外的解决方法。 在无法安装更新来阻止漏洞的系统上,您可以限制从外部网络对 Home Assistant Web 服务的网络端口的访问。
目前尚未详细说明利用该漏洞的方法(据开发人员称,大约有1/3的用户已经安装了该更新,许多系统仍然存在漏洞)。 在更正的版本中,打着优化的幌子,对令牌和代理查询的处理进行了更改,并添加了过滤器来阻止 SQL 查询的替换和“的插入” » и использования путей с «../» и «/./».
来源: opennet.ru