Plataforma
python
Componente
home-assistant-cli
Corregido en
1.0.1
1.0.0
La vulnerabilidad CVE-2026-40602 afecta a la interfaz de línea de comandos de Home Assistant (hass-cli) en versiones anteriores a 1.0.0. Esta falla permite la ejecución remota de código (RCE) debido al uso de un entorno no restringido para el procesamiento de plantillas Jinja2. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código Python arbitrario en el sistema, comprometiendo la integridad y confidencialidad de la información.
La principal consecuencia de esta vulnerabilidad es la ejecución remota de código. Un atacante puede inyectar código malicioso dentro de plantillas Jinja2 y, al renderizarlas a través de hass-cli, ejecutar comandos arbitrarios en el sistema donde se ejecuta la herramienta. Esto podría resultar en la toma de control completa del sistema, robo de datos sensibles, instalación de malware, o el uso del sistema como punto de apoyo para ataques a otros sistemas en la red. El ejemplo proporcionado en la descripción de la CVE demuestra la posibilidad de acceder a las funciones internas de Python, como import, lo que amplía significativamente el alcance de las acciones que un atacante puede realizar. La falta de un entorno de ejecución sandboxed para las plantillas Jinja2 es la causa fundamental de esta vulnerabilidad.
La vulnerabilidad CVE-2026-40602 fue publicada el 2026-04-21. Actualmente no se dispone de información sobre campañas de explotación activas o la inclusión de esta vulnerabilidad en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. Sin embargo, la naturaleza de la vulnerabilidad (RCE) la convierte en un objetivo atractivo para los atacantes, y la disponibilidad de una prueba de concepto (PoC) podría aumentar el riesgo de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Home Assistant users who are running versions of hass-cli prior to 1.0.0, particularly those who allow users to provide custom templates or scripts to the CLI tool, are at significant risk. Shared hosting environments where multiple users have access to the hass-cli tool are also vulnerable.
• linux / server:
ps aux | grep 'hass-cli template' | grep -i 'environ.__globals__'• python / supply-chain:
import os
import subprocess
# Example of a malicious template execution (DO NOT RUN)
subprocess.run(['echo', 'Malicious code executed!'], shell=True)• generic web: Inspect Home Assistant logs for any errors or unusual activity related to template rendering or Python execution.
disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La solución principal para mitigar CVE-2026-40602 es actualizar a la versión 1.0.0 de Home Assistant Command-line interface. Esta versión corrige la vulnerabilidad al implementar un entorno de ejecución sandboxed para las plantillas Jinja2, limitando el acceso a las funciones internas de Python. Si la actualización a la versión 1.0.0 no es inmediatamente posible, se recomienda evitar el uso de la herramienta con plantillas proporcionadas por fuentes no confiables. Como medida adicional, se puede considerar la implementación de reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que contengan plantillas Jinja2 maliciosas. La monitorización de los logs del sistema en busca de actividades sospechosas relacionadas con la ejecución de plantillas Jinja2 también puede ayudar a detectar y responder a posibles ataques.
Actualice a la versión 1.0.0 o superior de home-assistant-cli para mitigar la vulnerabilidad. Esta versión utiliza un entorno Jinja2 sandboxed, restringiendo el acceso a los internos de Python y limitando el alcance de la plantillización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-40602 is a Remote Code Execution vulnerability in the Home Assistant Command-line interface (hass-cli) versions before 1.0.0, allowing attackers to execute arbitrary Python code through unrestricted Jinja2 template rendering.
You are affected if you are using Home Assistant Command-line interface (hass-cli) version 1.0.0 or earlier. Check your version and upgrade immediately.
Upgrade to version 1.0.0 of the Home Assistant Command-line interface. This version includes a sandboxed Jinja2 environment to prevent code execution.
Public proof-of-concept exploits are known, suggesting the potential for active exploitation. Monitor your systems for suspicious activity.
Refer to the official Home Assistant security advisories and release notes for details and updates regarding CVE-2026-40602.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.