Platform
python
Component
esphome
Opgelost in
2023.12.10
2024.2.1
CVE-2024-27081 is een Remote Code Execution (RCE) kwetsbaarheid in de dashboard component van ESPHome, specifiek in de API voor het bewerken van configuratiebestanden. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige bestanden onder de configuratiedirectory te lezen en te schrijven, wat potentieel tot code-uitvoering kan leiden. De kwetsbaarheid treft versies van ESPHome tot en met 2024.2.0b3. Een fix is beschikbaar in versie 2024.2.1.
Deze kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om via de API voor het bewerken van configuratiebestanden willekeurige bestanden te lezen en te schrijven onder de configuratiedirectory. Dit betekent dat een aanvaller potentieel schadelijke code kan uitvoeren op het ESPHome-apparaat. De impact is aanzienlijk, aangezien een succesvolle exploit volledige controle over het apparaat kan opleveren. Dit kan leiden tot compromittering van de functionaliteit van het apparaat, diefstal van gevoelige gegevens die op het apparaat zijn opgeslagen, of zelfs het gebruik van het apparaat als onderdeel van een bredere aanval op het netwerk. De kwetsbaarheid is zowel in de command line installatie als in de Home Assistant add-on aanwezig.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de beschikbaarheid van de informatie maakt exploitatie waarschijnlijk. De CVSS score van 7.2 (HIGH) duidt op een significant risico. Er is geen vermelding op de CISA KEV catalogus op het moment van schrijven.
Home users and small businesses utilizing ESPHome for home automation are particularly at risk. Individuals relying on ESPHome for critical functions, such as security systems or environmental controls, face a heightened level of exposure. Shared hosting environments where ESPHome is deployed could also be impacted, potentially affecting multiple users.
• linux / server:
journalctl -u esphome -f | grep -i "path traversal"• generic web:
curl -I 'http://<esphome_ip>/api/edit_config?file=../../../../etc/passwd' # Attempt path traversal• generic web:
curl -I 'http://<esphome_ip>/api/edit_config?file=/etc/passwd' # Attempt path traversaldisclosure
Exploit Status
EPSS
4.46% (89% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden naar ESPHome versie 2024.2.1 of hoger. Indien een upgrade direct problemen veroorzaakt, overweeg dan een rollback naar een eerdere stabiele versie (indien mogelijk) totdat de upgrade kan worden getest in een gecontroleerde omgeving. Als een upgrade niet direct mogelijk is, beperk dan de toegang tot de configuratiebestand API door middel van een Web Application Firewall (WAF) of proxy. Configureer de WAF om verzoeken met path traversal patronen te blokkeren. Controleer ook de configuratie van ESPHome op onnodige rechten of permissies die de impact van de kwetsbaarheid kunnen vergroten. Na de upgrade, bevestig de fix door te proberen een bestand buiten de configuratiedirectory te lezen of schrijven via de API.
Actualice ESPHome a la versión 2024.2.1 o posterior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos en el componente del panel de control. La actualización se puede realizar a través de la interfaz de línea de comandos o mediante la actualización del sistema.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-27081 is a Remote Code Execution vulnerability in the ESPHome dashboard, allowing attackers to potentially execute code on the device.
You are affected if you are using ESPHome versions 2024.2.0b3 or earlier. Upgrade to 2024.2.1 or later to mitigate the risk.
Upgrade ESPHome to version 2024.2.1 or later. This resolves the path traversal vulnerability.
While no active exploitation campaigns have been confirmed, the vulnerability's ease of exploitation raises concerns about potential abuse.
Refer to the official ESPHome security advisory for detailed information and updates: [https://esphome.io/security.html](https://esphome.io/security.html)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.