Krytyczna luka w Home Assistant umożliwiająca nieautoryzowany dostęp do aplikacji
Krytyczna luka w Home Assistant umożliwia dostęp bez uwierzytelnienia. Aktualizuj Supervisor do wersji 2026.03.02, aby zabezpieczyć system.
- CVSS
- 9.6 CRITICAL
- EPSS
- 16.9%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Home Assistant w trybie host network udostępnia niezabezpieczone punkty końcowe na wewnętrznym interfejsie Docker, co na Linuksie pozwala każdemu urządzeniu w sieci lokalnej na dostęp bez uwierzytelnienia. Problem dotyczy aplikacji skonfigurowanych z tym trybem i został załatany w wersji Supervisor 2026.03.02.
Wpływ biznesowy
Luka o wysokim poziomie krytyczności (CVSS 9.6) może prowadzić do nieautoryzowanego dostępu do komponentów Home Assistant w sieci lokalnej, co zagraża prywatności i bezpieczeństwu automatyki domowej. Operatorzy powinni traktować tę podatność priorytetowo, zwłaszcza w środowiskach z wieloma urządzeniami w jednej sieci.
Rekomendowane działania administratora
Zaleca się jak najszybszą aktualizację Home Assistant Supervisor do wersji 2026.03.02 lub nowszej. Dodatkowo warto ograniczyć ekspozycję aplikacji w trybie host network, monitorować logi pod kątem nieautoryzowanych prób dostępu oraz przeglądnąć konfigurację sieci lokalnej pod kątem minimalizacji ryzyka.