प्लेटफ़ॉर्म
python
घटक
home-assistant-cli
में ठीक किया गया
1.0.1
1.0.0
CVE-2026-40602 Home Assistant Command-line interface (hass-cli) में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। यह भेद्यता हमलावरों को Python के आंतरिक भाग तक पहुँचने और अनधिकृत कोड निष्पादित करने की अनुमति देती है। यह भेद्यता Home Assistant Command-line interface के संस्करण 1.0.0 से पहले के संस्करणों को प्रभावित करती है। संस्करण 1.0.0 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Home Assistant सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति देती है। हमलावर सिस्टम पर नियंत्रण प्राप्त कर सकते हैं, संवेदनशील डेटा चुरा सकते हैं, या सिस्टम को नुकसान पहुंचा सकते हैं। एक हमलावर hass-cli template कमांड का उपयोग करके एक दुर्भावनापूर्ण Jinja2 टेम्पलेट प्रस्तुत कर सकता है, जिससे Python के आंतरिक कार्यों तक पहुँच प्राप्त हो सके। उदाहरण के लिए, वे import फ़ंक्शन का उपयोग करके os मॉड्यूल आयात कर सकते हैं और सिस्टम कमांड निष्पादित कर सकते हैं। इस भेद्यता का उपयोग सिस्टम को पूरी तरह से नियंत्रित करने के लिए किया जा सकता है, जिससे डेटा हानि और गोपनीयता का उल्लंघन हो सकता है।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण किया जा सकता है। CVE को 2026-04-21 को प्रकाशित किया गया था। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जिससे इसका शोषण आसान हो सकता है। CISA KEV सूची में शामिल होने की स्थिति अभी तक निर्धारित नहीं है।
Home Assistant users who are running versions of hass-cli prior to 1.0.0, particularly those who allow users to provide custom templates or scripts to the CLI tool, are at significant risk. Shared hosting environments where multiple users have access to the hass-cli tool are also vulnerable.
• linux / server:
ps aux | grep 'hass-cli template' | grep -i 'environ.__globals__'• python / supply-chain:
import os
import subprocess
# Example of a malicious template execution (DO NOT RUN)
subprocess.run(['echo', 'Malicious code executed!'], shell=True)• generic web: Inspect Home Assistant logs for any errors or unusual activity related to template rendering or Python execution.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Home Assistant Command-line interface को संस्करण 1.0.0 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, Jinja2 टेम्पलेट्स के लिए सख्त प्रतिबंधों के साथ एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें। सुनिश्चित करें कि आपके Home Assistant इंस्टॉलेशन में नवीनतम सुरक्षा पैच लागू हैं और नियमित रूप से सुरक्षा ऑडिट करें। अपग्रेड के बाद, यह सत्यापित करें कि hass-cli template कमांड का उपयोग करके Jinja2 टेम्पलेट्स को प्रस्तुत करने पर कोई त्रुटि नहीं होती है और सिस्टम सामान्य रूप से कार्य करता है।
home-assistant-cli के 1.0.0 या उच्चतर संस्करण में अपडेट करें ताकि भेद्यता को कम किया जा सके। यह संस्करण Jinja2 सैंडबॉक्स्ड वातावरण का उपयोग करता है, जो Python के आंतरिक भाग तक पहुंच को प्रतिबंधित करता है और टेम्पलेटिंग के दायरे को सीमित करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-40602 Home Assistant Command-line interface में एक रिमोट कोड एग्जीक्यूशन भेद्यता है जो हमलावरों को Python के आंतरिक भाग तक पहुँचने की अनुमति देती है।
यदि आप Home Assistant Command-line interface के संस्करण 1.0.0 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Home Assistant Command-line interface को संस्करण 1.0.0 या बाद के संस्करण में तुरंत अपडेट करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण किया जा सकता है।
Home Assistant की वेबसाइट पर जाएँ और सुरक्षा सलाहकार अनुभाग देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।