CVE-2023-27482
Оценки
EPSS
Процентиль: 88.6%
CVSS
Оценка CVSS: 10.0/10
Все оценки CVSS
Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Сеть (N)
Описывает способ эксплуатации уязвимости
Сложность атаки
Низкая (L)
Описывает условия, не зависящие от атакующего
Требуемые привилегии
Отсутствуют (N)
Описывает уровень привилегий, которыми должен обладать атакующий
Взаимодействие с пользователем
Отсутствует (N)
Отражает требование участия человека в атаке
Область воздействия
Изменена (C)
Определяет, влияет ли успешная атака на компоненты за пределами уязвимого компонента
Воздействие на конфиденциальность
Высокое (H)
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Высокое (H)
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Высокое (H)
Измеряет воздействие на доступность затронутого компонента
Описание
homeassistant — это инструмент автоматизации дома с открытым исходным кодом. Обнаружена удаленно используемая уязвимость, позволяющая обходить аутентификацию для доступа к API Supervisor через Home Assistant. Это влияет на все типы установки Home Assistant, использующие Supervisor 2023.01.1 или более старую версию. Типы установки, такие как Home Assistant Container (например, Docker) или Home Assistant Core вручную в среде Python, не затрагиваются. Проблема была решена и закрыта в Supervisor версии 2023.03.1, которая была развернута во всех затронутых установках с помощью функции автоматического обновления Supervisor. Это развертывание было завершено на момент публикации этого отчета. Home Assistant Core 2023.3.0 включает меры по устранению этой уязвимости. Таким образом, рекомендуется обновиться как минимум до этой версии. Если в настоящее время невозможно обновить Home Assistant Supervisor или приложение Home Assistant Core, рекомендуется не предоставлять экземпляр Home Assistant в Интернет.
Сканер-ВС 7 — современное решение для управления уязвимостями
Источники
CWE
Уязвимое ПО (5)
Тип: Конфигурация
Продукт: hass-core
Операционная система: altlinux
{ "fixed": "0:2023.3.3-alt1"}
Источник: redhat
Тип: Конфигурация
Продукт: homeassistant
Операционная система: debian
{ "unfixed": true}
Источник: debian
Тип: Конфигурация
Продукт: python3-module-hass
Операционная система: altlinux
{ "fixed": "0:2023.3.3-alt1"}
Источник: redhat
Тип: Конфигурация
Поставщик: *
Продукт: home-assistant
Операционная система: * * *
{ "cpe_match": [ { "cpe23uri": "cpe:2.3:a:home-assistant:home-assistant:*:*:*:*:*:*:*:*", "versionEndExcluding": "2023.3.0", "vulnerable": true }, { "cpe23uri": "...
{ "cpe_match": [ { "cpe23uri": "cpe:2.3:a:home-assistant:home-assistant:*:*:*:*:*:*:*:*", "versionEndExcluding": "2023.3.0", "vulnerable": true }, { "cpe23uri": "cpe:2.3:a:home-assistant:supervisor:*:*:*:*:*:*:*:*", "versionEndExcluding": "2023.03.1", "vulnerable": true } ], "operator": "OR"}
Источник: nvd
Тип: Конфигурация
Поставщик: *
Продукт: supervisor
Операционная система: * * *
{ "cpe_match": [ { "cpe23uri": "cpe:2.3:a:home-assistant:home-assistant:*:*:*:*:*:*:*:*", "versionEndExcluding": "2023.3.0", "vulnerable": true }, { "cpe23uri": "...
{ "cpe_match": [ { "cpe23uri": "cpe:2.3:a:home-assistant:home-assistant:*:*:*:*:*:*:*:*", "versionEndExcluding": "2023.3.0", "vulnerable": true }, { "cpe23uri": "cpe:2.3:a:home-assistant:supervisor:*:*:*:*:*:*:*:*", "versionEndExcluding": "2023.03.1", "vulnerable": true } ], "operator": "OR"}
Источник: nvd