Vulnerabilidad en Home Assistant (CVE-2023-41895)

Home Assistant es una domótica de código abierto. La página de inicio de sesión de Home Assistant permite a los usuarios utilizar sus credenciales locales de Home Assistant e iniciar sesión en otro sitio web que especifique los parámetros `redirect_uri` y `client_id`. Aunque la validación de `redirect_uri` generalmente garantiza que coincide con `client_id` y el esquema representa `http` o `https`, Home Assistant buscará `client_id` y buscará `` Etiquetas HTML en la página. Estas URL no están sujetas a la misma validación de esquema y, por lo tanto, permiten la ejecución arbitraria de JavaScript en la página de administración de Home Assistant mediante el uso de URI de esquema `javascript:`. Esta vulnerabilidad de Cross-Site Scripting (XSS) se puede ejecutar en el dominio frontend de Home Assistant, que puede usarse para tomar el control completo de la cuenta e instalación de Home Assistant. Este problema se solucionó en la versión 2023.9.0 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.