В ESPHome версии 2025.8.0 обнаружена уязвимость в механизме аутентификации web_server, которая позволяет обойти аутентификацию, используя п…
В ESPHome версии 2025.8.0 обнаружена уязвимость в механизме аутентификации web_server, которая позволяет обойти аутентификацию, используя пустое или неполное значение заголовка Authorization. Это может привести к несанкционированному доступу к функциональности web_server, включая OTA-обновления. Уязвимость исправлена в версии 2025.8.1. Для старых версий рекомендуется отключить компонент web_server на устройствах ESP-IDF [1]. Источники: - [1] https://github.com/esphome/esphome/security/advisories/GHSA-mxh2-ccgj-8635 - [2] https://github.com/esphome/esphome/commit/2aceb56606ec8afec5f49c92e140c8050a6ccbe5
Требования к продукту предписывают использование установленного алгоритма аутентификации, однако его реализация выполнена некорректно.
https://cwe.mitre.org/data/definitions/303.html →Открыть в коллекции CWE →Злоумышленник может злоупотребить протоколом аутентификации, уязвимым к атаке-отражению, для его обхода. Это позволяет злоумышленнику получить нелегитимный доступ к целевой системе без наличия требуемых учётных данных. Атаки-отражения представляют серьёзную угрозу для протоколов аутентификации, основанных на механизме запрос-ответ или аналогичном. Злоумышленник может выдавать себя за легитимного пользователя и, успешно проведя атаку-отражение в ходе аутентификации, получить нелегитимный доступ к системе.
https://capec.mitre.org/data/definitions/90.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| esphome_firmware | * | Отслеживается |