Plataforma
linux
Componente
core
Corrigido em
17.1.1
A vulnerabilidade CVE-2026-34205 no Home Assistant OS expõe endpoints não autenticados na rede local. Isso permite que dispositivos na mesma rede acessem esses endpoints sem autenticação. As versões 17.1 e anteriores são afetadas. A correção para este problema foi lançada na versão 2026.03.02.
A vulnerabilidade CVE-2026-34205 afeta o Home Assistant Operating System, permitindo acesso não autenticado a aplicativos configurados com o modo de rede 'host'. Em sistemas Linux, essa configuração incorreta permite que qualquer dispositivo na rede local acesse esses endpoints sem autenticação. Isso pode permitir que agentes maliciosos controlem dispositivos conectados, acessem dados confidenciais ou até mesmo executem código não autorizado. A vulnerabilidade é classificada como 9.7 na escala CVSS, indicando um risco crítico. A exposição desses endpoints representa uma séria violação de segurança para usuários que dependem do Home Assistant para automação residencial e privacidade.
Esta vulnerabilidade é explorada aproveitando a configuração incorreta do modo de rede 'host' dentro dos aplicativos Home Assistant. Um atacante na mesma rede local pode procurar endpoints expostos e, devido à falta de autenticação, acessá-los diretamente. A simplicidade da exploração torna esta vulnerabilidade particularmente preocupante, pois não requer habilidades técnicas avançadas. A ausência de autenticação significa que qualquer dispositivo com acesso à rede pode potencialmente comprometer o sistema.
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A correção para CVE-2026-34205 foi implementada na versão 2026.03.02 do Home Assistant Supervisor. Recomenda-se fortemente atualizar para esta versão ou posterior o mais rápido possível. Além disso, revise a configuração de rede de seus aplicativos Home Assistant e, sempre que possível, restrinja o acesso à rede interna apenas a dispositivos confiáveis. Considere o uso de VLANs ou segmentação de rede para uma camada extra de segurança. Monitorar a atividade da rede em busca de acesso não autorizado também é uma prática recomendada.
Atualize o Home Assistant Supervisor para a versão 2026.03.02 ou posterior. Isso corrige a exposição de endpoints não autenticados na rede local quando o modo de rede host é usado para aplicativos (add-ons).
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Home Assistant é um software de automação residencial de código aberto que permite controlar e automatizar vários dispositivos e serviços em sua casa.
O modo de rede 'host' permite que um aplicativo Docker use a interface de rede do host diretamente, em vez da rede interna do Docker. Isso pode melhorar o desempenho, mas também pode aumentar os riscos de segurança se não for configurado corretamente.
Se você estiver usando uma versão do Home Assistant Supervisor anterior a 2026.03.02, provavelmente estará afetado. Verifique a versão do seu Supervisor na interface do usuário do Home Assistant.
Se você não puder atualizar imediatamente, considere restringir o acesso à rede interna apenas a dispositivos confiáveis e monitorar a atividade da rede.
Você pode encontrar mais informações sobre esta vulnerabilidade no site do Home Assistant e em bancos de dados de vulnerabilidades, como o NIST NVD.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.