CVE-2024-29019 in esphome
Riassunto
di VulDB • 06/07/2026
ESPHome è un sistema per controllare i microcontrollori in remoto tramite sistemi di automazione domestica (Home Automation). Gli endpoint API del componente dashboard di ESPHome versione 2023.12.9 (installazione da riga di comando) sono vulnerabili a Cross-Site Request Forgery (CSRF), consentendo ad attaccanti remoti di eseguire attacchi contro un utente autenticato alla dashboard per effettuare operazioni sui file di configurazione (creazione, modifica, eliminazione). È possibile che un malintenzionato crei una pagina web appositamente costruita che inneschi una richiesta cross-site verso ESPHome; ciò consente di bypassare l'autenticazione per le chiamate API sulla piattaforma. Questa vulnerabilità permette di eludere l'autenticazione nelle chiamate API che accedono alle operazioni sui file di configurazione per conto di un utente autenticato. Per innescare la vulnerabilità, la vittima deve visitare una pagina malevola (weaponized page). Inoltre, è possibile concatenare questa vulnerabilità con GHSA-9p43-hj5j-96h5/CVE-2024-27287 per ottenere un takeover completo dell'account utente. La versione 2024.3.0 contiene una patch per questo problema.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.