Home Assistant Command-line Interface: ユーザー提供のJinja2テンプレートの処理

この脆弱性を悪用されると、攻撃者はHome Assistant Command-line interfaceを実行しているシステム上で任意のコードを実行できます。これにより、機密情報の窃取、システムの改ざん、さらにはシステム全体の制御権の奪取といった深刻な被害が発生する可能性があります。特に、Home Assistantを管理するための自動化スクリプトやカスタムコンポーネントをhass-cliで操作している環境では、攻撃の影響が広範囲に及ぶ可能性があります。攻撃者は、Jinja2テンプレートに悪意のあるPythonコードを埋め込み、hass-cli templateコマンドを実行することで、この脆弱性を悪用できます。この攻撃は、Home Assistantの構成ファイルや設定データを改ざんし、システムを不正な状態に操作する可能性があります。

Home Assistant users who are running versions of hass-cli prior to 1.0.0, particularly those who allow users to provide custom templates or scripts to the CLI tool, are at significant risk. Shared hosting environments where multiple users have access to the hass-cli tool are also vulnerable.

• linux / server:

ps aux | grep 'hass-cli template' | grep -i 'environ.__globals__'

• python / supply-chain:

import os
import subprocess

# Example of a malicious template execution (DO NOT RUN)
subprocess.run(['echo', 'Malicious code executed!'], shell=True)

• generic web: Inspect Home Assistant logs for any errors or unusual activity related to template rendering or Python execution.

1. 2026-04-21Disclosure

   disclosure

1. 予約済み2026-04-14
2. 公開日2026-04-21
3. EPSS 更新日2026-04-29

この脆弱性への対応策として、まずHome Assistant Command-line interfaceをバージョン1.0.0にアップデートすることを推奨します。アップデートが困難な場合は、Jinja2テンプレートの入力を厳密に制限するなどの緩和策を講じる必要があります。具体的には、テンプレート内で使用する変数を制限したり、テンプレートの実行環境をサンドボックス化したりすることで、攻撃の影響を軽減できます。また、WAF（Web Application Firewall）を導入し、悪意のあるJinja2テンプレートの実行を検知・遮断することも有効です。Jinja2テンプレートの入力を検証するカスタムルールを作成し、不審なパターンを検出するように設定してください。アップデート後、hass-cli templateコマンドを使用して、テンプレートのレンダリングが正常に行われることを確認してください。