Platform
python
Component
home-assistant-cli
Opgelost in
1.0.1
1.0.0
CVE-2026-40602 is een Remote Code Execution (RCE) kwetsbaarheid in de Home Assistant Command-line interface (hass-cli). Deze kwetsbaarheid ontstaat doordat een onbeperkte omgeving werd gebruikt voor het verwerken van Jinja2 templates in plaats van een sandbox omgeving. Dit gaf gebruikers toegang tot Python's internals, waardoor de scope van templating werd uitgebreid. De kwetsbaarheid treft versies 1.0.0 en eerder, en is verholpen in versie 1.0.0.
Een succesvolle exploitatie van CVE-2026-40602 stelt een aanvaller in staat willekeurige code uit te voeren op het systeem waarop de Home Assistant Command-line interface draait. Dit kan leiden tot volledige controle over het systeem, inclusief toegang tot gevoelige gegevens en de mogelijkheid om andere systemen in het netwerk aan te vallen. De kwetsbaarheid maakt gebruik van de mogelijkheid om Python internals te benaderen via Jinja2 templates, zoals blijkt uit het voorbeeld met environ.globals['builtins']. Dit patroon is vergelijkbaar met exploits die misbruik maken van onvoldoende sandbox omgevingen voor template engines.
CVE-2026-40602 is openbaar bekend en de kwetsbaarheid is beschreven in de Home Assistant security advisory. Er zijn momenteel geen bekende actieve campagnes die deze kwetsbaarheid uitbuiten, maar de publicatie van een proof-of-concept (POC) is waarschijnlijk. De kwetsbaarheid is toegevoegd aan de CISA KEV catalogus (KEV status onbekend op het moment van publicatie).
Home Assistant users who are running versions of hass-cli prior to 1.0.0, particularly those who allow users to provide custom templates or scripts to the CLI tool, are at significant risk. Shared hosting environments where multiple users have access to the hass-cli tool are also vulnerable.
• linux / server:
ps aux | grep 'hass-cli template' | grep -i 'environ.__globals__'• python / supply-chain:
import os
import subprocess
# Example of a malicious template execution (DO NOT RUN)
subprocess.run(['echo', 'Malicious code executed!'], shell=True)• generic web: Inspect Home Assistant logs for any errors or unusual activity related to template rendering or Python execution.
disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-40602 is het upgraden van de Home Assistant Command-line interface naar versie 1.0.0 of hoger. Indien een upgrade direct problemen veroorzaakt, overweeg dan een rollback naar een eerdere stabiele versie (indien mogelijk) totdat de upgrade kan worden uitgevoerd. Gebruik een Web Application Firewall (WAF) of proxy om verdachte Jinja2 template rendering requests te blokkeren. Controleer de configuratie van Home Assistant en zorg ervoor dat de Command-line interface niet onnodig toegankelijk is vanaf onbetrouwbare bronnen. Er zijn geen specifieke Sigma of YARA patronen bekend voor deze kwetsbaarheid, maar het monitoren van Python processen die Jinja2 templates renderen is aan te raden.
Werk bij naar versie 1.0.0 of hoger van home-assistant-cli om de kwetsbaarheid te mitigeren. Deze versie gebruikt een Jinja2 sandbox omgeving, waardoor de toegang tot Python internals wordt beperkt en de scope van templating wordt gelimiteerd.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-40602 is a Remote Code Execution vulnerability in the Home Assistant Command-line interface (hass-cli) versions before 1.0.0, allowing attackers to execute arbitrary Python code through unrestricted Jinja2 template rendering.
You are affected if you are using Home Assistant Command-line interface (hass-cli) version 1.0.0 or earlier. Check your version and upgrade immediately.
Upgrade to version 1.0.0 of the Home Assistant Command-line interface. This version includes a sandboxed Jinja2 environment to prevent code execution.
Public proof-of-concept exploits are known, suggesting the potential for active exploitation. Monitor your systems for suspicious activity.
Refer to the official Home Assistant security advisories and release notes for details and updates regarding CVE-2026-40602.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.