Plateforme
python
Composant
home-assistant-cli
Corrigé dans
1.0.1
1.0.0
La vulnérabilité CVE-2026-40602 affecte l'interface en ligne de commande de Home Assistant (hass-cli) jusqu'à la version 1.0.0. Elle permet l'exécution de code arbitraire en raison de l'utilisation d'un environnement non restreint pour le rendu des modèles Jinja2. Cette faille permet aux attaquants d'accéder aux fonctionnalités internes de Python, ouvrant la voie à des attaques potentiellement graves. La version 1.0.0 corrige cette vulnérabilité.
Cette vulnérabilité permet à un attaquant d'injecter du code malveillant dans les modèles Jinja2 utilisés par l'interface en ligne de commande de Home Assistant. En exploitant cette faille, un attaquant peut exécuter du code Python arbitraire sur le système où Home Assistant est installé. Cela peut conduire à la compromission complète du système, incluant le vol de données sensibles, la modification de la configuration de Home Assistant, ou l'utilisation du système comme point de pivot pour attaquer d'autres systèmes sur le réseau. L'accès aux fonctionnalités internes de Python amplifie considérablement le potentiel d'exploitation, permettant des actions qui dépassent le cadre initial de l'exécution des modèles.
Cette vulnérabilité a été rendue publique le 2026-04-21. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité (RCE) et la disponibilité d'un environnement Python non restreint la rendent potentiellement dangereuse. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour sur l'exploitation de cette faille. La vulnérabilité n'est pas répertoriée sur le KEV à ce jour.
Home Assistant users who are running versions of hass-cli prior to 1.0.0, particularly those who allow users to provide custom templates or scripts to the CLI tool, are at significant risk. Shared hosting environments where multiple users have access to the hass-cli tool are also vulnerable.
• linux / server:
ps aux | grep 'hass-cli template' | grep -i 'environ.__globals__'• python / supply-chain:
import os
import subprocess
# Example of a malicious template execution (DO NOT RUN)
subprocess.run(['echo', 'Malicious code executed!'], shell=True)• generic web: Inspect Home Assistant logs for any errors or unusual activity related to template rendering or Python execution.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Home Assistant Command-line interface vers la version 1.0.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement l'utilisation de modèles Jinja2 externes ou de restreindre l'accès aux modèles via des contrôles d'accès appropriés. Il est également possible de configurer un environnement Jinja2 plus restreint, limitant l'accès aux fonctions et modules Python sensibles. Après la mise à jour, vérifiez que l'interface en ligne de commande ne peut plus rendre des modèles avec des accès non restreints en essayant d'exécuter une commande avec un modèle malveillant.
Mettez à jour vers la version 1.0.0 ou supérieure de home-assistant-cli pour atténuer la vulnérabilité. Cette version utilise un environnement Jinja2 sandboxé, restreignant l'accès aux internes de Python et limitant la portée du templating.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-40602 is a Remote Code Execution vulnerability in the Home Assistant Command-line interface (hass-cli) versions before 1.0.0, allowing attackers to execute arbitrary Python code through unrestricted Jinja2 template rendering.
You are affected if you are using Home Assistant Command-line interface (hass-cli) version 1.0.0 or earlier. Check your version and upgrade immediately.
Upgrade to version 1.0.0 of the Home Assistant Command-line interface. This version includes a sandboxed Jinja2 environment to prevent code execution.
Public proof-of-concept exploits are known, suggesting the potential for active exploitation. Monitor your systems for suspicious activity.
Refer to the official Home Assistant security advisories and release notes for details and updates regarding CVE-2026-40602.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.