Krytyczna luka w Home Assistant umożliwiająca nieautoryzowany dostęp do aplikacji

Krytyczna luka w Home Assistant umożliwia dostęp bez uwierzytelnienia. Aktualizuj Supervisor do wersji 2026.03.02, aby zabezpieczyć system.
CVE-2026-34205CVSS 9.6Linux

Krytyczna luka w Home Assistant umożliwiająca nieautoryzowany dostęp do aplikacji

Krytyczna luka w Home Assistant umożliwia dostęp bez uwierzytelnienia. Aktualizuj Supervisor do wersji 2026.03.02, aby zabezpieczyć system.

CVSS
9.6 CRITICAL
EPSS
16.9%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Home Assistant w trybie host network udostępnia niezabezpieczone punkty końcowe na wewnętrznym interfejsie Docker, co na Linuksie pozwala każdemu urządzeniu w sieci lokalnej na dostęp bez uwierzytelnienia. Problem dotyczy aplikacji skonfigurowanych z tym trybem i został załatany w wersji Supervisor 2026.03.02.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.6) może prowadzić do nieautoryzowanego dostępu do komponentów Home Assistant w sieci lokalnej, co zagraża prywatności i bezpieczeństwu automatyki domowej. Operatorzy powinni traktować tę podatność priorytetowo, zwłaszcza w środowiskach z wieloma urządzeniami w jednej sieci.

Rekomendowane działania administratora

Zaleca się jak najszybszą aktualizację Home Assistant Supervisor do wersji 2026.03.02 lub nowszej. Dodatkowo warto ograniczyć ekspozycję aplikacji w trybie host network, monitorować logi pod kątem nieautoryzowanych prób dostępu oraz przeglądnąć konfigurację sieci lokalnej pod kątem minimalizacji ryzyka.

Źródła