В открытой платформе домашней автоматизации Home Assistant выявлена критическая уязвимость (CVE-2023-27482), позволяющая обойти аутентификацию и получить полный доступ к привилегированному API Supervisor, через который можно менять настройки, устанавливать/обновлять ПО, управлять дополнениями и резервными копиями.
Проблема затрагивает установки, в которых используется компонент Supervisor и появляется на начиная с первых его выпусков (с 2017 года). Например, уязвимость присутствует в окружениях Home Assistant OS и Home Assistant Supervised, но не затрагивает Home Assistant Container (Docker) и вручную созданные Python-окружения на базе Home Assistant Core.
Уязвимость устранена в версии Home Assistant Supervisor 2023.01.1. Дополнительно обходной вариант защиты включён в состав выпуска Home Assistant 2023.3.0. На системах на которых не удаётся установить обновление для блокирования уязвимости можно ограничить доступ к сетевому порту web-сервиса Home Assistant из внешних сетей.
Метод эксплуатации уязвимости пока не детализируется (по оценке разработчиков около 1/3 пользователей установили обновление и многие системы остаются уязвимы). В исправленной версии под видом оптимизации внесены изменения в обработку токенов и проксируемых запросов, а также добавлены фильтры для блокирования подстановки SQL-запросов, вставки тега "<script>" и использования путей с "../" и "/./".
Проблема затрагивает установки, в которых используется компонент Supervisor и появляется на начиная с первых его выпусков (с 2017 года). Например, уязвимость присутствует в окружениях Home Assistant OS и Home Assistant Supervised, но не затрагивает Home Assistant Container (Docker) и вручную созданные Python-окружения на базе Home Assistant Core.
Уязвимость устранена в версии Home Assistant Supervisor 2023.01.1. Дополнительно обходной вариант защиты включён в состав выпуска Home Assistant 2023.3.0. На системах на которых не удаётся установить обновление для блокирования уязвимости можно ограничить доступ к сетевому порту web-сервиса Home Assistant из внешних сетей.
Метод эксплуатации уязвимости пока не детализируется (по оценке разработчиков около 1/3 пользователей установили обновление и многие системы остаются уязвимы). В исправленной версии под видом оптимизации внесены изменения в обработку токенов и проксируемых запросов, а также добавлены фильтры для блокирования подстановки SQL-запросов, вставки тега "<script>" и использования путей с "../" и "/./".