Plateforme
python
Composant
esphome
Corrigé dans
2023.12.10
2024.2.1
La vulnérabilité CVE-2024-27081 est une faille d'exécution de code à distance (RCE) affectant ESPHome, une plateforme open source pour le contrôle de matériel IoT. Cette faille de configuration de sécurité dans l'API de fichier de configuration de tableau de bord permet à des attaquants authentifiés de lire et d'écrire des fichiers arbitraires dans le répertoire de configuration. Les versions concernées sont celles inférieures ou égales à 2024.2.0b3; une mise à jour vers la version 2024.2.1 corrige ce problème.
Un attaquant authentifié peut exploiter cette vulnérabilité de parcours de chemin pour lire et écrire des fichiers arbitraires dans le répertoire de configuration d'ESPHome. Cela permet potentiellement l'exécution de code malveillant sur le système ESPHome, compromettant ainsi le contrôle de l'appareil IoT. L'attaquant pourrait modifier les configurations, installer des logiciels malveillants ou accéder à des données sensibles stockées dans le répertoire de configuration. La portée de l'impact dépend de la sensibilité des données stockées et des privilèges accordés à l'appareil ESPHome compromis.
Cette vulnérabilité a été rendue publique le 1er mars 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité (RCE) et sa facilité d'exploitation potentielle justifient une attention particulière. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA. Des preuves de concept publiques sont susceptibles d'émerger, augmentant le risque d'exploitation.
Home users and small businesses utilizing ESPHome for home automation are particularly at risk. Individuals relying on ESPHome for critical functions, such as security systems or environmental controls, face a heightened level of exposure. Shared hosting environments where ESPHome is deployed could also be impacted, potentially affecting multiple users.
• linux / server:
journalctl -u esphome -f | grep -i "path traversal"• generic web:
curl -I 'http://<esphome_ip>/api/edit_config?file=../../../../etc/passwd' # Attempt path traversal• generic web:
curl -I 'http://<esphome_ip>/api/edit_config?file=/etc/passwd' # Attempt path traversaldisclosure
Statut de l'Exploit
EPSS
4.46% (percentile 89%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour ESPHome vers la version 2024.2.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès à l'API de fichier de configuration de tableau de bord aux utilisateurs autorisés uniquement. Envisagez également de mettre en œuvre une surveillance accrue des fichiers de configuration pour détecter toute modification non autorisée. Bien qu'il n'existe pas de règles WAF spécifiques, une règle de pare-feu interdisant l'accès à l'API de configuration depuis des sources non fiables peut offrir une protection supplémentaire.
Actualice ESPHome a la versión 2024.2.1 o posterior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos en el componente del panel de control. La actualización se puede realizar a través de la interfaz de línea de comandos o mediante la actualización del sistema.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-27081 is a Remote Code Execution vulnerability in the ESPHome dashboard, allowing attackers to potentially execute code on the device.
You are affected if you are using ESPHome versions 2024.2.0b3 or earlier. Upgrade to 2024.2.1 or later to mitigate the risk.
Upgrade ESPHome to version 2024.2.1 or later. This resolves the path traversal vulnerability.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation raises concerns about potential abuse.
Refer to the official ESPHome security advisory for detailed information and updates: [https://esphome.io/security.html](https://esphome.io/security.html)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.