HIGHCVE-2024-27081CVSS 7.2

ESPHome 存在通过任意文件写入远程代码执行漏洞

平台

python

组件

esphome

修复版本

2023.12.10

2024.2.1

AI Confidence: highNVDEPSS 4.5%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-27081 是 ESPHome 中发现的一个远程代码执行 (RCE) 漏洞。该漏洞源于 dashboard 组件中编辑配置文件 API 的安全配置错误，允许经过身份验证的攻击者读取和写入配置目录下的任意文件。受影响的版本包括 ESPHome 2023.12.9 及更早版本（命令行安装）。建议立即升级至 2024.2.1 版本以消除此风险。

影响与攻击场景

该漏洞的潜在影响非常严重。攻击者可以利用此漏洞在受影响的 ESPHome 设备上执行任意代码，从而完全控制设备。这可能导致设备被恶意软件感染、数据泄露、网络攻击以及其他严重的安全事件。由于 ESPHome 设备通常用于家庭自动化和物联网应用，攻击者可能能够访问敏感信息，例如家庭网络凭据、监控录像等。此外，攻击者还可以利用受感染的设备作为跳板，攻击内部网络中的其他设备，扩大攻击范围。

利用背景

目前尚未公开发现针对此漏洞的利用代码，但由于漏洞的严重性和易于利用性，预计未来可能会出现公开的利用代码。该漏洞已于 2024 年 3 月 1 日公开披露。建议密切关注安全社区的动态，并及时采取必要的安全措施。目前尚未将其添加到 CISA KEV 目录。

哪些人处于风险中翻译中…

Home users and small businesses utilizing ESPHome for home automation are particularly at risk. Individuals relying on ESPHome for critical functions, such as security systems or environmental controls, face a heightened level of exposure. Shared hosting environments where ESPHome is deployed could also be impacted, potentially affecting multiple users.

检测步骤翻译中…

• linux / server:

journalctl -u esphome -f | grep -i "path traversal"

• generic web:

curl -I 'http://<esphome_ip>/api/edit_config?file=../../../../etc/passwd' # Attempt path traversal

• generic web:

curl -I 'http://<esphome_ip>/api/edit_config?file=/etc/passwd' # Attempt path traversal

攻击时间线

2024-03-01Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

4.46% (89% 百分位)

CVSS 向量

受影响的软件

组件esphome

供应商osv

影响范围修复版本

= 2023.12.9 – = 2023.12.92023.12.10

2023.12.92024.2.1

弱点分类 (CWE)

CWE-22

时间线

已保留2024-02-19
发布日期2024-03-01
修改日期2025-02-07
EPSS 更新日期2026-04-02

披露后-4天发布补丁

缓解措施和替代方案

最有效的缓解措施是立即将 ESPHome 升级至 2024.2.1 或更高版本。如果升级导致系统不稳定，可以考虑回滚到之前的稳定版本，但请注意这只是临时解决方案。对于无法立即升级的系统，可以尝试限制对 dashboard 组件的访问，并确保所有用户都使用强密码。此外，建议使用防火墙或代理服务器来限制对 ESPHome 设备的外部访问，并定期审查配置文件的权限设置。升级后，请验证新版本是否已成功安装，并检查设备日志是否存在异常活动。

修复方法翻译中…

Actualice ESPHome a la versión 2024.2.1 o posterior. Esto corrige la vulnerabilidad de escritura arbitraria de archivos en el componente del panel de control. La actualización se puede realizar a través de la interfaz de línea de comandos o mediante la actualización del sistema.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-27081 — 远程代码执行漏洞在 ESPHome 中？

CVE-2024-27081 是 ESPHome 软件中发现的一个远程代码执行漏洞，允许攻击者在未经授权的情况下执行代码。该漏洞存在于版本小于等于 2024.2.0b3 的 ESPHome 中。

我是否受到 CVE-2024-27081 在 ESPHome 中影响？

如果您正在使用 ESPHome 版本小于等于 2024.2.0b3，则您可能受到此漏洞的影响。请立即升级至 2024.2.1 或更高版本。

我如何修复 CVE-2024-27081 在 ESPHome 中？

最简单的修复方法是升级到 ESPHome 2024.2.1 或更高版本。请按照 ESPHome 官方文档的说明进行升级。

CVE-2024-27081 是否正在被积极利用？

目前尚未公开发现针对此漏洞的利用代码，但由于漏洞的严重性，预计未来可能会出现。

在哪里可以找到 ESPHome 官方关于 CVE-2024-27081 的公告？

请访问 ESPHome 官方网站或 GitHub 仓库，查找有关 CVE-2024-27081 的安全公告。