Home Assistant bis 2023.12.2 Login Page Information Disclosure

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.1$0-$5k0.00

Zusammenfassunginfo

Eine problematische Schwachstelle wurde in Home Assistant bis 2023.12.2 entdeckt. Hiervon betroffen ist ein unbekannter Codeblock der Komponente Login Page. Durch Beeinflussen mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2023-50715 gelistet. Der Angriff muss im lokalen Netzwerk durchgeführt werden. Ferner existiert ein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.

Detailsinfo

Eine problematische Schwachstelle wurde in Home Assistant bis 2023.12.2 gefunden. Dies betrifft eine unbekannte Verarbeitung der Komponente Login Page. Dank Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-200. Auswirkungen hat dies auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:

Home Assistant is open source home automation software. Prior to version 2023.12.3, the login page discloses all active user accounts to any unauthenticated browsing request originating on the Local Area Network. Version 2023.12.3 contains a patch for this issue. When starting the Home Assistant 2023.12 release, the login page returns all currently active user accounts to browsing requests from the Local Area Network. Tests showed that this occurs when the request is not authenticated and the request originated locally, meaning on the Home Assistant host local subnet or any other private subnet. The rationale behind this is to make the login more user-friendly and an experience better aligned with other applications that have multiple user-profiles. However, as a result, all accounts are displayed regardless of them having logged in or not and for any device that navigates to the server. This disclosure is mitigated by the fact that it only occurs for requests originating from a LAN address. But note that this applies to the local subnet where Home Assistant resides and to any private subnet that can reach it.

Die Schwachstelle wurde am 15.12.2023 als GHSA-jqpc-rc7g-vf83 herausgegeben. Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird seit dem 11.12.2023 mit der eindeutigen Identifikation CVE-2023-50715 gehandelt. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1592 aus.

Der Exploit wird unter github.com zur Verfügung gestellt. Er wird als proof-of-concept gehandelt.

Ein Aktualisieren auf die Version 2023.12.3 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen des Patches dbfc5ea8f96bde6cd165892f5a6a6f9a65731c76 lösen. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Produktinfo

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.3
VulDB Meta Temp Score: 4.1

VulDB Base Score: 4.3
VulDB Temp Score: 3.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 4.3
CNA Vector (GitHub, Inc.): 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Information Disclosure
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Teilweise

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Home Assistant 2023.12.3
Patch: dbfc5ea8f96bde6cd165892f5a6a6f9a65731c76

Timelineinfo

11.12.2023 🔍
15.12.2023 +4 Tage 🔍
15.12.2023 +0 Tage 🔍
15.12.2023 +0 Tage 🔍

Quelleninfo

Advisory: GHSA-jqpc-rc7g-vf83
Status: Bestätigt

CVE: CVE-2023-50715 (🔍)
GCVE (CVE): GCVE-0-2023-50715
GCVE (VulDB): GCVE-100-248117
scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 15.12.2023 06:46
Anpassungen: 15.12.2023 06:46 (55)
Komplett: 🔍
Cache ID: 216::103

Submitinfo

Duplikat

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you know our Splunk app?

Download it now for free!