CVE-2026-44698 in Home Assistantالمعلومات

الملخص

بحسب VulDB • 29/05/2026

تُعد Home Assistant برنامجًا مفتوح المصدر للأتمتة المنزلية يضع التحكم المحلي والخصوصية في المقام الأول. قبل الإصدار 2026.4.1 لنظام iOS و2026.4.4 لنظام Android، كانت تطبيقات Home Assistant Companion لنظامي Android وiOS تعرض جسر JavaScript إلى نافذة WebView داخل التطبيق عبر `window.externalApp` على Android و`webkit.messageHandlers.getExternalAuth` (إلى جانب `revokeExternalAuth` و`externalBus`) على iOS. تكشف ثغرتان عن هذا الجسر لجميع الإطارات (بما في ذلك إطارات iframes عبر النطاقات المختلفة)، ويسمح التداخل غير المُطهّر لمعرف استدعاء JavaScript بإطار iframe عبر النطاقات، المُعرَّض داخل تطبيق Companion، بتنفيذ JavaScript عشوائي في أصل الإطار الرئيسي للواجهة الأمامية لـ Home Assistant، وسرقة رمز الوصول للمستخدم المسجل الدخول. تم إصلاح هذه الثغرة في الإصدار 2026.4.1 لنظام iOS و2026.4.4 لنظام Android.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

07/05/2026

إفشاء

29/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-367246

CPE

جاهز

CWE

CWE-94 (مؤكد)

CVSS

8.3 (CNA)

EPSS

0.00020

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44698
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44698
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44698/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!