nvd,anchore_overrides
Esphome
Уязвимости
6
Эксплуатируемые
0
Критический
0
Высокий
5
Топ продуктов
Топ уязвимостей
CVE-2024-27081ESPHome - это система для управления вашим ESP8266/ESP32. Ошибка конфигурации безопасности в API файла конфигурации редактирования в компоненте панели управления ESPHome версии 2023.12.9 (установка из командной строки) позволяет удаленным злоумышленникам, прошедшим проверку подлинности, читать и записывать произвольные файлы в каталоге конфигурации, что делает возможным удаленное выполнение кода. Эта уязвимость исправлена в версии 2024.2.1.
CVE-2024-27287ESPHome - это система для управления вашим ESP8266/ESP32 для систем домашней автоматизации. Начиная с версии 2023.12.9 и до версии 2024.2.2, редактирование файла конфигурации API в компоненте панели управления ESPHome версии 2023.12.9 (установка из командной строки и надстройка Home Assistant) предоставляет необработанные данные с `Content-Type: text/html; charset=UTF-8`, что позволяет удаленному аутентифицированному пользователю внедрять произвольный веб-скрипт и извлекать файлы cookie сеанса через межсайтовый скриптинг. Злоумышленник с учетными данными может внедрить произвольный Javascript в файлы конфигурации с помощью POST-запроса к конечной точке /edit, параметр configuration позволяет указать файл для записи. Чтобы вызвать уязвимость XSS, жертва должна посетить страницу `/edit?configuration=[xss file]`. Злоупотребляя этой уязвимостью, злоумышленник может выполнять операции на панели управления от имени вошедшего в систему пользователя, получать доступ к конфиденциальной информации, создавать, редактировать и удалять файлы конфигурации и прошивать прошивку на управляемых платах.
В дополнение к этому, файлы cookie неправильно защищены, что позволяет извлекать значения файлов cookie сеанса. Версия 2024.2.2 содержит исправление для этой проблемы.
CVE-2025-57808В ESPHome версии 2025.8.0 обнаружена уязвимость в механизме аутентификации web_server, которая позволяет обойти аутентификацию, используя пустое или неполное значение заголовка Authorization. Это может привести к несанкционированному доступу к функциональности web_server, включая OTA-обновления. Уязвимость исправлена в версии 2025.8.1. Для старых версий рекомендуется отключить компонент web_server на устройствах ESP-IDF [1].
Источники:
- [1] https://github.com/esphome/esphome/security/advisories/GHSA-mxh2-ccgj-8635
- [2] https://github.com/esphome/esphome/commit/2aceb56606ec8afec5f49c92e140c8050a6ccbe5
CVE-2024-29019ESPHome — это система для удаленного управления микроконтроллерами через системы домашней автоматизации. API endpoints в компоненте dashboard ESPHome версии 2023.12.9 (установка из командной строки) уязвимы для межсайтовой подделки запросов (CSRF), что позволяет удаленным злоумышленникам совершать атаки на залогиненного пользователя dashboard для выполнения операций с файлами конфигурации (создание, редактирование, удаление). Злоумышленник может создать специально разработанную веб-страницу, которая вызывает межсайтовый запрос к ESPHome, что позволяет обойти аутентификацию для вызовов API на платформе. Эта уязвимость позволяет обойти аутентификацию для вызовов API, обращающихся к операциям с файлами конфигурации от имени залогиненного пользователя. Чтобы вызвать уязвимость, жертва должна посетить зараженную страницу. В дополнение к этому, можно связать эту уязвимость с GHSA-9p43-hj5j-96h5/ CVE-2024-27287 для получения полного захвата учетной записи пользователя. Версия 2024.3.0 содержит исправление для этой проблемы.
CVE-2021-41104ESPHome - это система для управления ESP8266/ESP32. Любой пользователь с включенным web_server и настроенной базовой HTTP-аутентификацией в версии 2021.9.1 или более старой подвержен проблеме, при которой `web_server` разрешает беспроводные (OTA) обновления без проверки определяемого пользователем имени пользователя и пароля базовой аутентификации. Эта проблема исправлена в версии 2021.9.2. В качестве обходного пути можно отключить или удалить `web_server`.
CVE-2026-23833ESPHome - это система дистанционного управления микроконтроллерами через системы домашней автоматизации. В версиях с 2025.9.0 до 2025.12.6 целое переполнение протобуфного декодера компонента API позволяет совершать атаки типа «отказ в обслуживании», когда шифрование API не используется. Границы проверки `ptr + field_length > end` в `components/api/proto.cpp` может переполниться, когда злоумышленник отправляет большое `field_length` значение. Это затрагивает все платформы устройств ESPHome (ESP32, ESP8266, RP2040, LibreTiny). Переполнение обходит проверку вне-предела, в результате чего устройство считывает неверностную память и сбивается. При использовании протокола API открытого текста эта атака может быть выполнена без аутентификации. Когда включено шифрование шума, требуется знание ключа шифрования. Пользователи должны обновиться до ESPHome 2025.12.7 или более поздних версий, чтобы получить патч, включить шифрование API с уникальным ключом на устройство и следовать лучшим практикам безопасности.