Plateforme
linux
Composant
core
Corrigé dans
17.1.1
La vulnérabilité CVE-2026-34205 affecte Home Assistant Operating System. Elle expose des points de terminaison non authentifiés configurés en mode réseau hôte sur le réseau local. Les versions affectées sont comprises entre 17.1 et 17.1. Cette configuration permet un accès non autorisé aux applications. Le correctif est disponible dans Home Assistant Supervisor 2026.03.02.
La vulnérabilité CVE-2026-34205 affecte le Home Assistant Operating System, permettant un accès non authentifié aux applications configurées avec le mode réseau 'host'. Sur les systèmes Linux, cette configuration incorrecte permet à tout appareil du réseau local d'accéder à ces points d'extrémité sans authentification. Cela pourrait permettre à des acteurs malveillants de contrôler les appareils connectés, d'accéder à des données sensibles ou d'exécuter même du code non autorisé. La vulnérabilité est notée 9.7 sur l'échelle CVSS, indiquant un risque critique. L'exposition de ces points d'extrémité représente une grave violation de sécurité pour les utilisateurs qui comptent sur Home Assistant pour l'automatisation domestique et la confidentialité.
Cette vulnérabilité est exploitée en tirant parti de la configuration incorrecte du mode réseau 'host' au sein des applications Home Assistant. Un attaquant sur le même réseau local peut rechercher des points d'extrémité exposés et, en raison de l'absence d'authentification, y accéder directement. La simplicité de l'exploitation rend cette vulnérabilité particulièrement préoccupante car elle ne nécessite pas de compétences techniques avancées. L'absence d'authentification signifie que tout appareil disposant d'un accès réseau peut potentiellement compromettre le système.
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La correction pour CVE-2026-34205 a été implémentée dans la version 2026.03.02 de Home Assistant Supervisor. Il est fortement recommandé de mettre à jour vers cette version ou une version ultérieure dès que possible. De plus, examinez la configuration réseau de vos applications Home Assistant et, si possible, restreignez l'accès au réseau interne aux seuls appareils de confiance. Envisagez d'utiliser des VLAN ou une segmentation réseau pour une couche de sécurité supplémentaire. Surveiller l'activité du réseau à la recherche d'accès non autorisés est également une pratique recommandée.
Mettez à jour Home Assistant Supervisor vers la version 2026.03.02 ou ultérieure. Cela corrige l'exposition des points de terminaison non authentifiés sur le réseau local lors de l'utilisation du mode réseau hôte pour les applications (add-ons).
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Home Assistant est un logiciel d'automatisation domestique open source qui vous permet de contrôler et d'automatiser divers appareils et services dans votre maison.
Le mode réseau 'host' permet à une application Docker d'utiliser l'interface réseau de l'hôte directement, plutôt que le réseau interne de Docker. Cela peut améliorer les performances, mais peut également augmenter les risques de sécurité si ce n'est pas configuré correctement.
Si vous utilisez une version de Home Assistant Supervisor antérieure à 2026.03.02, vous êtes probablement affecté. Vérifiez la version de votre Supervisor dans l'interface utilisateur de Home Assistant.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de restreindre l'accès au réseau interne aux seuls appareils de confiance et de surveiller l'activité du réseau.
Vous pouvez trouver plus d'informations sur cette vulnérabilité sur le site Web de Home Assistant et dans les bases de données de vulnérabilités telles que le NIST NVD.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.