Plataforma
python
Componente
home-assistant-cli
Corrigido em
1.0.1
1.0.0
A vulnerabilidade CVE-2026-40602 é uma falha de Execução Remota de Código (RCE) presente na interface de linha de comando do Home Assistant (hass-cli), versões 1.0.0 e anteriores. Devido ao uso de um ambiente não restrito para processar templates Jinja2, um atacante pode injetar código malicioso e executá-lo localmente. A atualização para a versão 1.0.0 corrige essa falha, eliminando o risco de execução de código não autorizado.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute código arbitrário no sistema onde o Home Assistant Command-line interface está sendo executado. Isso pode levar ao comprometimento completo do sistema, permitindo o acesso não autorizado a dados confidenciais, a instalação de malware e a execução de comandos com os privilégios do usuário que executa o hass-cli. O atacante pode, por exemplo, usar a vulnerabilidade para obter acesso a informações de configuração do Home Assistant, dados de sensores e outros dispositivos conectados à rede. A falta de sandboxing dos templates Jinja2 amplia significativamente o escopo da exploração, permitindo o acesso a funcionalidades internas do Python.
A vulnerabilidade foi divulgada em 2026-04-21. Não há informações disponíveis sobre a adição desta CVE ao KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de exploits públicos amplamente utilizados. A descrição da vulnerabilidade sugere que a exploração envolve a injeção de código Python dentro de templates Jinja2, similar a outras vulnerabilidades de injeção de código em linguagens de template.
Home Assistant users who are running versions of hass-cli prior to 1.0.0, particularly those who allow users to provide custom templates or scripts to the CLI tool, are at significant risk. Shared hosting environments where multiple users have access to the hass-cli tool are also vulnerable.
• linux / server:
ps aux | grep 'hass-cli template' | grep -i 'environ.__globals__'• python / supply-chain:
import os
import subprocess
# Example of a malicious template execution (DO NOT RUN)
subprocess.run(['echo', 'Malicious code executed!'], shell=True)• generic web: Inspect Home Assistant logs for any errors or unusual activity related to template rendering or Python execution.
disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-40602 é a atualização imediata para a versão 1.0.0 do Home Assistant Command-line interface. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso ao hass-cli apenas a usuários confiáveis. Além disso, revise os templates Jinja2 em uso para identificar e remover qualquer código potencialmente malicioso. Embora não haja uma regra WAF específica para esta vulnerabilidade, a implementação de regras gerais de validação de entrada e sanitização de templates pode ajudar a mitigar o risco. A verificação após a atualização deve ser feita executando hass-cli template --help para confirmar que a versão atualizada está sendo utilizada.
Atualize para a versão 1.0.0 ou superior de home-assistant-cli para mitigar a vulnerabilidade. Esta versão utiliza um ambiente Jinja2 sandboxed, restringindo o acesso aos internos do Python e limitando o escopo da modelagem.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-40602 is a Remote Code Execution vulnerability in the Home Assistant Command-line interface (hass-cli) versions before 1.0.0, allowing attackers to execute arbitrary Python code through unrestricted Jinja2 template rendering.
You are affected if you are using Home Assistant Command-line interface (hass-cli) version 1.0.0 or earlier. Check your version and upgrade immediately.
Upgrade to version 1.0.0 of the Home Assistant Command-line interface. This version includes a sandboxed Jinja2 environment to prevent code execution.
Public proof-of-concept exploits are known, suggesting the potential for active exploitation. Monitor your systems for suspicious activity.
Refer to the official Home Assistant security advisories and release notes for details and updates regarding CVE-2026-40602.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.