CRITICALCVE-2026-34205CVSS 9.7

Home Assistant 漏洞 (CVE-2026-34205) 允许未授权访问

Q: CVE-2026-34205 是什么 — Home Assistant 中的漏洞？

Home Assistant 是一种开源家庭自动化软件，可让您控制和自动化您家中各种设备和服务。

Q: Home Assistant 中的 CVE-2026-34205 是否会影响我？

'host' 网络模式允许 Docker 应用程序直接使用主机的网络接口，而不是 Docker 的内部网络。这可以提高性能，但如果配置不正确，也可能会增加安全风险。

Q: 如何修复 Home Assistant 中的 CVE-2026-34205？

如果您使用的是 2026.03.02 之前的 Home Assistant Supervisor 版本，则很可能受到影响。请在 Home Assistant 用户界面中检查您的 Supervisor 版本。

Q: CVE-2026-34205 是否正在被积极利用？

如果您无法立即更新，请考虑将内部网络访问限制为受信任的设备，并监控网络活动。

Q: 在哪里可以找到 Home Assistant 关于 CVE-2026-34205 的官方安全通告？

您可以在 Home Assistant 网站以及 NIST NVD 等漏洞数据库中找到有关此漏洞的更多信息。

平台

linux

组件

core

修复版本

17.1.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-34205 描述了 Home Assistant 中的一个漏洞，该漏洞允许同一网络上的设备未经身份验证访问 Home Assistant 应用。受影响的版本为 17.1–<= 17.1。此漏洞的修复版本为 2026.03.02，用户应尽快更新到该版本以修复此安全问题。

影响与攻击场景

CVE-2026-34205 影响 Home Assistant Operating System，允许对配置为 'host' 网络模式的应用程序进行未经身份验证的访问。在 Linux 系统上，此配置错误允许本地网络上的任何设备在未经身份验证的情况下访问这些端点。这可能允许恶意行为者控制连接的设备、访问敏感数据或执行未经授权的代码。该漏洞在 CVSS 评分中评为 9.7，表示一个关键风险。这些端点的暴露对依赖 Home Assistant 进行家庭自动化和隐私保护的用户来说，构成了严重的安全漏洞。

利用背景

此漏洞是通过利用 Home Assistant 应用程序中 'host' 网络模式的错误配置来利用的。同一本地网络上的攻击者可以扫描公开的端点，并且由于缺乏身份验证，可以直接访问这些端点。攻击的简单性使得此漏洞特别令人担忧，因为它不需要高级技术技能。缺乏身份验证意味着具有网络访问权限的任何设备都可能潜在地破坏系统。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露中

报告1 份威胁报告

EPSS

0.02% (6% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件core

供应商home-assistant

影响范围修复版本

<= 17.1 – <= 17.117.1.1

< 2026.03.2 – < 2026.03.2—

弱点分类 (CWE)

CWE-923

时间线

已保留2026-03-26
发布日期2026-03-27
修改日期2026-04-01
EPSS 更新日期2026-04-04

缓解措施和替代方案

CVE-2026-34205 的修复已在 Home Assistant Supervisor 版本 2026.03.02 中实施。强烈建议尽快更新到此版本或更高版本。此外，请查看 Home Assistant 应用程序的网络配置，并在可能的情况下，将内部网络访问限制为受信任的设备。考虑使用 VLAN 或网络分段作为额外的安全层。监控网络活动以查找未经授权的访问也是一种推荐的做法。

修复方法

将 Home Assistant Supervisor 更新到 2026.03.02 或更高版本。这将修复在使用主机网络模式进行应用程序（add-ons）时，本地网络中未经验证的端点暴露问题。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-34205 是什么 — Home Assistant 中的漏洞？