CVE-2023-41897 in Home Assistantinfo

Zusammenfassung

von VulDB • 30.05.2026

Home Assistant ist eine Open-Source-Heimautomatisierungssoftware. Der Home Assistant-Server setzt keine HTTP-Sicherheits-Header fest, einschließlich des X-Frame-Options-Headers, der angibt, ob die Webseite in einem Frame eingebettet werden darf. Das Fehlen dieses und korrelierender Header erleichtert covert Clickjacking-Angriffe und alternative Exploit-Möglichkeiten, wie den in dieser Sicherheitsmitteilung beschriebenen Vektor. Dieser Fehler birgt ein erhebliches Risiko, da es möglich ist, Benutzer mit minimaler Interaktion dazu zu verleiten, ein externes und bösartiges Add-on zu installieren, was die Remote Code Execution (RCE) innerhalb der Home Assistant-Anwendung ermöglichen würde. Dieses Problem wurde in Version 2023.9.0 behoben, und allen Benutzern wird empfohlen, ein Upgrade durchzuführen. Es sind keine bekannten Workarounds für diese Schwachstelle verfügbar.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

04.09.2023

Veröffentlichung

25.10.2023

Moderieren

akzeptiert

Eintrag

VDB-242990

CPE

bereit

EPSS

0.00950

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!