प्लेटफ़ॉर्म
python
घटक
esphome
में ठीक किया गया
2023.12.10
2024.2.1
CVE-2024-27081 एक रिमोट कोड निष्पादन (RCE) भेद्यता है जो ESPHome के डैशबोर्ड घटक में पाई गई है। यह भेद्यता हमलावरों को प्रमाणीकरण के बाद कॉन्फ़िगरेशन निर्देशिका के अंतर्गत मनमाना फ़ाइलों को पढ़ने और लिखने की अनुमति देती है, जिससे रिमोट कोड निष्पादन संभव हो जाता है। यह भेद्यता ESPHome के संस्करण 2024.2.0b3 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 2024.2.1 में इस समस्या का समाधान किया गया है।
CVE-2024-27081 का शोषण करने वाला एक हमलावर ESPHome डिवाइस पर मनमाना कोड निष्पादित कर सकता है। यह हमलावर डिवाइस पर पूर्ण नियंत्रण प्राप्त कर सकता है, संवेदनशील डेटा तक पहुंच सकता है, और अन्य उपकरणों पर आगे बढ़ सकता है। इस भेद्यता का उपयोग डिवाइस को बॉटनेट में शामिल करने, डेटा चोरी करने या डिवाइस को अन्य दुर्भावनापूर्ण उद्देश्यों के लिए उपयोग करने के लिए किया जा सकता है। चूंकि यह भेद्यता कॉन्फ़िगरेशन फ़ाइलों को पढ़ने और लिखने की अनुमति देती है, इसलिए यह ESPHome सिस्टम की सुरक्षा को गंभीर रूप से कमजोर करती है।
CVE-2024-27081 को अभी तक सक्रिय रूप से शोषण करने के कोई संकेत नहीं मिले हैं, लेकिन भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह संभावित रूप से शोषण के लिए एक लक्ष्य बन सकता है। यह भेद्यता 2024-03-01 को प्रकाशित की गई थी। CISA KEV सूची में अभी तक शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, PoC जल्द ही उपलब्ध हो सकते हैं।
Home users and small businesses utilizing ESPHome for home automation are particularly at risk. Individuals relying on ESPHome for critical functions, such as security systems or environmental controls, face a heightened level of exposure. Shared hosting environments where ESPHome is deployed could also be impacted, potentially affecting multiple users.
• linux / server:
journalctl -u esphome -f | grep -i "path traversal"• generic web:
curl -I 'http://<esphome_ip>/api/edit_config?file=../../../../etc/passwd' # Attempt path traversal• generic web:
curl -I 'http://<esphome_ip>/api/edit_config?file=/etc/passwd' # Attempt path traversaldisclosure
एक्सप्लॉइट स्थिति
EPSS
4.46% (89% शतमक)
CVSS वेक्टर
CVE-2024-27081 को कम करने के लिए, ESPHome को संस्करण 2024.2.1 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, ESPHome डैशबोर्ड घटक में फ़ाइल एक्सेस को सीमित करने के लिए फ़ायरवॉल नियमों को कॉन्फ़िगर करें। इसके अतिरिक्त, सुनिश्चित करें कि ESPHome डैशबोर्ड तक पहुंच केवल विश्वसनीय उपयोगकर्ताओं तक ही सीमित है। ESPHome के नवीनतम संस्करण में अपडेट करने के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, डैशबोर्ड के माध्यम से फ़ाइलों को पढ़ने और लिखने का प्रयास करके।
Actualice ESPHome a la versión 2024.2.1 o posterior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos en el componente del panel de control. La actualización se puede realizar a través de la interfaz de línea de comandos o mediante la actualización del sistema.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-27081 ESPHome के डैशबोर्ड घटक में एक रिमोट कोड निष्पादन भेद्यता है जो हमलावरों को मनमाना फ़ाइलों को पढ़ने और लिखने की अनुमति देती है।
यदि आप ESPHome के संस्करण 2024.2.0b3 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
ESPHome को संस्करण 2024.2.1 या बाद के संस्करण में तुरंत अपडेट करें।
अभी तक सक्रिय शोषण के कोई संकेत नहीं हैं, लेकिन भेद्यता की गंभीरता के कारण, यह संभावित रूप से शोषण के लिए एक लक्ष्य बन सकता है।
आप ESPHome सलाहकार यहां पा सकते हैं: [https://esphome.io/blog/security.html](https://esphome.io/blog/security.html)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।