Plataforma
python
Componente
esphome
Corregido en
2023.12.10
2024.2.1
La vulnerabilidad CVE-2024-27081 es una falla de ejecución remota de código (RCE) presente en ESPHome, específicamente en la API de edición de archivos de configuración del componente de dashboard. Esta falla permite a atacantes autenticados leer y escribir archivos arbitrarios dentro del directorio de configuración, lo que puede llevar a la ejecución de código malicioso. La vulnerabilidad afecta a versiones de ESPHome hasta la 2024.2.0b3, y se ha solucionado en la versión 2024.2.1.
Un atacante autenticado puede explotar esta vulnerabilidad de recorrido de directorio (path traversal) para leer y escribir archivos arbitrarios dentro del directorio de configuración de ESPHome. Esto permite la modificación de archivos de configuración críticos, la inyección de código malicioso y, en última instancia, la ejecución remota de código en el dispositivo ESPHome. La severidad de esta vulnerabilidad es alta debido a su potencial para comprometer completamente el dispositivo y la red a la que está conectado. La capacidad de leer y escribir archivos arbitrarios abre la puerta a la manipulación de la lógica del dispositivo, la exfiltración de datos sensibles y el establecimiento de una puerta trasera persistente.
La vulnerabilidad fue publicada el 1 de marzo de 2024. No se ha reportado su inclusión en el KEV de CISA al momento de esta redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (recorrido de directorio con potencial de RCE) la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con ESPHome.
Home users and small businesses utilizing ESPHome for home automation are particularly at risk. Individuals relying on ESPHome for critical functions, such as security systems or environmental controls, face a heightened level of exposure. Shared hosting environments where ESPHome is deployed could also be impacted, potentially affecting multiple users.
• linux / server:
journalctl -u esphome -f | grep -i "path traversal"• generic web:
curl -I 'http://<esphome_ip>/api/edit_config?file=../../../../etc/passwd' # Attempt path traversal• generic web:
curl -I 'http://<esphome_ip>/api/edit_config?file=/etc/passwd' # Attempt path traversaldisclosure
Estado del Exploit
EPSS
4.46% (89% percentil)
Vector CVSS
La solución principal es actualizar a la versión 2024.2.1 de ESPHome, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la API de edición de archivos de configuración solo a usuarios confiables. Además, se pueden implementar reglas en un firewall o proxy para bloquear el acceso no autorizado a la API. Monitorear los registros del sistema en busca de intentos de acceso inusuales o modificaciones de archivos sospechosas también puede ayudar a detectar y prevenir ataques. Si se sospecha de una intrusión, se recomienda realizar un análisis forense del sistema para identificar y eliminar cualquier código malicioso.
Actualice ESPHome a la versión 2024.2.1 o posterior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos en el componente del panel de control. La actualización se puede realizar a través de la interfaz de línea de comandos o mediante la actualización del sistema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-27081 is a Remote Code Execution vulnerability in the ESPHome dashboard, allowing attackers to potentially execute code on the device.
You are affected if you are using ESPHome versions 2024.2.0b3 or earlier. Upgrade to 2024.2.1 or later to mitigate the risk.
Upgrade ESPHome to version 2024.2.1 or later. This resolves the path traversal vulnerability.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation raises concerns about potential abuse.
Refer to the official ESPHome security advisory for detailed information and updates: [https://esphome.io/security.html](https://esphome.io/security.html)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.