Plataforma
other
Componente
core
Corregido en
2026.01
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Home Assistant, un software de automatización del hogar de código abierto. Esta vulnerabilidad permite a un usuario autenticado inyectar código malicioso en el nombre de una entidad de dispositivo, lo que puede resultar en ataques XSS contra cualquier persona que pueda ver un dashboard con una tarjeta Map que incluya esa entidad. La vulnerabilidad afecta a las versiones desde 2020.02 hasta, pero sin incluir, la versión 2026.01. La versión 2026.01 incluye la corrección.
Un atacante autenticado puede explotar esta vulnerabilidad inyectando código JavaScript malicioso en el nombre de una entidad de dispositivo dentro de Home Assistant. Este código se ejecutará en el navegador de cualquier usuario que visualice un dashboard con una tarjeta Map que muestre esa entidad, específicamente cuando el usuario pase el cursor sobre el punto de información. Esto podría permitir al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos o realizar otras acciones maliciosas en nombre del usuario afectado. El impacto se limita a usuarios que visualizan dashboards con Map-cards que incluyen la entidad modificada.
Esta vulnerabilidad fue publicada el 27 de marzo de 2026. No se ha reportado su inclusión en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. No se han identificado públicamente pruebas de concepto (PoC) activas o campañas de explotación en curso. La severidad se evalúa como baja debido a la necesidad de autenticación y la naturaleza específica del vector de ataque (hover sobre un punto de información en un Map-card).
Home Assistant users who have not upgraded to version 2026.01 or later are at risk. This includes users with dashboards containing Map-card components and who allow authenticated users to add or modify device entities. Shared hosting environments where multiple users share a Home Assistant instance are particularly vulnerable.
• linux / server: Examine Home Assistant logs for suspicious device entity name creations or modifications. Use journalctl -u home-assistant to filter for relevant events.
journalctl -u home-assistant | grep 'entity_name:'• generic web: Monitor Home Assistant dashboards for unexpected JavaScript behavior or redirects when hovering over Map-card entities. Inspect browser developer console for any unusual network requests or script errors.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar Home Assistant a la versión 2026.01 o posterior, donde se ha solucionado el problema. Si la actualización a la versión más reciente no es inmediatamente posible, se recomienda revisar cuidadosamente los nombres de las entidades de dispositivo para identificar y eliminar cualquier nombre sospechoso que pueda contener código malicioso. Además, se puede considerar la implementación de reglas en un Web Application Firewall (WAF) para filtrar entradas de nombres de dispositivos que contengan patrones de código JavaScript. Verificar que la configuración de Home Assistant limite el acceso a dashboards sensibles a usuarios autorizados.
Actualice Home Assistant a la versión 2026.01 o posterior. Esta versión corrige la vulnerabilidad XSS almacenada en la tarjeta de mapa.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33044 is a Cross-Site Scripting (XSS) vulnerability in Home Assistant versions 2020.02 through 2026.01, allowing attackers to inject malicious code via device entity names.
You are affected if you are running Home Assistant versions 2020.02 to 2026.01 and have dashboards with Map-card components where authenticated users can add or modify device entities.
Upgrade Home Assistant to version 2026.01 or later to resolve the vulnerability. This includes the necessary security patch.
There is currently no indication of active exploitation of CVE-2026-33044.
Refer to the official Home Assistant security advisory for CVE-2026-33044 on the Home Assistant website.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.