Vulnerabilidad en Home Assistant (CVE-2023-41893)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/10/2023
Última modificación:
26/10/2023
Descripción
Home Assistant es una domótica de código abierto. Los análisis del equipo de auditoría confirmaron que `redirect_uri` y `client_id` se pueden modificar al iniciar sesión. En consecuencia, el parámetro de código utilizado para obtener la autenticación posterior `access_token` se enviará a la URL especificada en los parámetros antes mencionados. Dado que se permite una URL arbitraria y `homeassistant.local` representa el dominio predeterminado preferido que probablemente muchos usuarios utilizan y confían en él, un atacante podría aprovechar esta debilidad para manipular a un usuario y recuperar el acceso a la cuenta. En particular, esta estrategia de ataque es plausible si la víctima ha expuesto su Home Assistant a Internet, ya que después de adquirir el "access_token" de la víctima, el adversario necesitaría utilizarlo directamente hacia la instancia para realizar cualquier acción maliciosa pertinente. Para lograr este intento de compromiso, el atacante debe enviar un enlace con un `redirect_uri` que controla a la propia instancia de Home Assistant de la víctima. En el caso de que la víctima se autentique a través de dicho enlace, el atacante obtendría el código enviado a la URL especificada en "redirect_uri", que luego se puede aprovechar para obtener un "access_token". Es pertinente que un atacante pueda aumentar la eficacia de esta estrategia registrando un dominio casi idéntico a "homeassistant.local", que a primera vista puede parecer legítimo y, por lo tanto, ocultar cualquier intención maliciosa. Este problema se solucionó en la versión 2023.9.0 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:home-assistant:home-assistant:*:*:*:*:*:*:*:* | 2023.9.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página