Home Assistant bis 2023.12.2 Login Page Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.1 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in Home Assistant bis 2023.12.2 entdeckt. Hiervon betroffen ist ein unbekannter Codeblock der Komponente Login Page. Durch Beeinflussen mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2023-50715 gelistet. Der Angriff muss im lokalen Netzwerk durchgeführt werden. Ferner existiert ein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Eine problematische Schwachstelle wurde in Home Assistant bis 2023.12.2 gefunden. Dies betrifft eine unbekannte Verarbeitung der Komponente Login Page. Dank Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-200. Auswirkungen hat dies auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
Home Assistant is open source home automation software. Prior to version 2023.12.3, the login page discloses all active user accounts to any unauthenticated browsing request originating on the Local Area Network. Version 2023.12.3 contains a patch for this issue.
When starting the Home Assistant 2023.12 release, the login page returns all currently active user accounts to browsing requests from the Local Area Network. Tests showed that this occurs when the request is not authenticated and the request originated locally, meaning on the Home Assistant host local subnet or any other private subnet. The rationale behind this is to make the login more user-friendly and an experience better aligned with other applications that have multiple user-profiles.
However, as a result, all accounts are displayed regardless of them having logged in or not and for any device that navigates to the server. This disclosure is mitigated by the fact that it only occurs for requests originating from a LAN address. But note that this applies to the local subnet where Home Assistant resides and to any private subnet that can reach it.Die Schwachstelle wurde am 15.12.2023 als GHSA-jqpc-rc7g-vf83 herausgegeben. Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird seit dem 11.12.2023 mit der eindeutigen Identifikation CVE-2023-50715 gehandelt. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1592 aus.
Der Exploit wird unter github.com zur Verfügung gestellt. Er wird als proof-of-concept gehandelt.
Ein Aktualisieren auf die Version 2023.12.3 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen des Patches dbfc5ea8f96bde6cd165892f5a6a6f9a65731c76 lösen. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 4.1
VulDB Base Score: 4.3
VulDB Temp Score: 3.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 4.3
CNA Vector (GitHub, Inc.): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Home Assistant 2023.12.3
Patch: dbfc5ea8f96bde6cd165892f5a6a6f9a65731c76
Timeline
11.12.2023 🔍15.12.2023 🔍
15.12.2023 🔍
15.12.2023 🔍
Quellen
Advisory: GHSA-jqpc-rc7g-vf83Status: Bestätigt
CVE: CVE-2023-50715 (🔍)
GCVE (CVE): GCVE-0-2023-50715
GCVE (VulDB): GCVE-100-248117
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 15.12.2023 06:46Anpassungen: 15.12.2023 06:46 (55)
Komplett: 🔍
Cache ID: 216::103
Submit
Duplikat
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.