プラットフォーム
linux
コンポーネント
core
修正版
17.1.1
CVE-2026-34205 は、Home Assistant OS に存在する未認証エンドポイント公開の脆弱性です。ホストネットワークモードで設定されたアプリが、ローカルネットワークにエンドポイントを公開します。影響を受けるバージョンは 17.1 です。この問題はバージョン 2026.03.02 で修正されました。
CVE-2026-34205は、Home Assistant Operating Systemに影響を与え、'host'ネットワークモードで構成されたアプリへの認証なしアクセスを許可します。Linuxシステムでは、この誤った構成により、ローカルネットワーク上の任意のデバイスが認証なしでこれらのエンドポイントにアクセスできるようになります。これにより、悪意のある攻撃者が接続されたデバイスを制御したり、機密データをアクセスしたり、不正なコードを実行したりする可能性があります。この脆弱性の深刻度はCVSSスケールで9.7と評価されており、重大なリスクを示しています。これらのエンドポイントの露出は、ホームオートメーションとプライバシーのためにHome Assistantに依存しているユーザーにとって深刻なセキュリティ侵害となります。
この脆弱性は、Home Assistantアプリ内の'host'ネットワークモードの誤った構成を利用することで悪用されます。同じローカルネットワーク上の攻撃者は、公開されているエンドポイントをスキャンし、認証がないため、直接アクセスできます。攻撃の単純さにより、この脆弱性は特に懸念されます。高度な技術スキルは必要ありません。認証がないということは、ネットワークアクセスを持つデバイスはシステムを潜在的に侵害できることを意味します。
エクスプロイト状況
EPSS
0.02% (6% パーセンタイル)
CISA SSVC
CVSS ベクトル
CVE-2026-34205の修正は、Home Assistant Supervisorバージョン2026.03.02で実装されました。できるだけ早くこのバージョンまたはそれ以降にアップデートすることを強くお勧めします。さらに、Home Assistantアプリのネットワーク構成を確認し、可能な限り、内部ネットワークへのアクセスを信頼できるデバイスのみに制限してください。追加のセキュリティレイヤーとして、VLANまたはネットワークセグメンテーションの使用を検討してください。不正アクセスを目的としたネットワークアクティビティの監視も推奨されるプラクティスです。
Home Assistant Supervisor をバージョン 2026.03.02 以降に更新してください。これにより、アプリ (アドオン) にホストネットワークモードを使用する場合に、ローカルネットワークで未認証のエンドポイントが公開される問題が修正されます。
脆弱性分析と重要アラートをメールでお届けします。
Home Assistantは、オープンソースのホームオートメーションソフトウェアであり、自宅のさまざまなデバイスとサービスを制御および自動化できます。
'host'ネットワークモードにより、DockerアプリケーションはDockerの内部ネットワークではなく、ホストのネットワークインターフェイスを直接使用できます。これによりパフォーマンスが向上する可能性がありますが、正しく構成されていない場合はセキュリティリスクも高まる可能性があります。
2026.03.02より前のバージョンのHome Assistant Supervisorを使用している場合は、影響を受けている可能性が高いです。Home AssistantユーザーインターフェイスでSupervisorのバージョンを確認してください。
すぐにアップデートできない場合は、内部ネットワークへのアクセスを信頼できるデバイスのみに制限し、ネットワークアクティビティを監視することを検討してください。
この脆弱性に関する詳細については、Home AssistantのWebサイトとNIST NVDなどの脆弱性データベースで確認できます。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。