開放式家庭自動化平台Home Assistant 中發現了一個嚴重漏洞(CVE-2023-27482),該漏洞允許您繞過身份驗證並獲得對特權Supervisor API 的完全訪問權限,透過該漏洞您可以更改設定、安裝/更新軟體、管理附加元件和備份。
該問題影響使用 Supervisor 組件的安裝,並且自其第一個版本(自 2017 年起)以來就出現了。 例如,此漏洞存在於Home Assistant作業系統和Home Assistant監督環境中,但不影響Home Assistant容器(Docker)和基於Home Assistant Core手動建立的Python環境。
該漏洞已在 Home Assistant Supervisor 版本 2023.01.1 中修復。 Home Assistant 2023.3.0 版本包含一個額外的解決方案。 在無法安裝更新來阻止漏洞的系統上,您可以限制從外部網路對 Home Assistant Web 服務的網路連接埠的存取。
目前尚未詳細說明利用該漏洞的方法(據開發人員稱,大約有1/3的用戶已經安裝了該更新,許多系統仍然存在漏洞)。 在更正的版本中,打著優化的幌子,對令牌和代理查詢的處理進行了更改,並添加了過濾器來阻止 SQL 查詢的替換和“的插入” » и использования путей с «../» и «/./».
來源: opennet.ru