Aplikacje (add-ony) Home Assistant skonfigurowane w trybie sieci hosta eksponują nieuwierzytelnione endpointy powiązane z wewnętrznym interfejsem Docker bridge na sieć lokalną. Każde urządzenie w tej samej sieci może uzyskać dostęp do tych endpointów bez żadnego uwierzytelnienia, co stanowi poważne zagrożenie dla bezpieczeństwa instalacji.
▸ Pokaż oryginał (EN)
Home Assistant is open source home automation software that puts local control and privacy first. Home Assistant apps (formerly add-ons) configured with host network mode expose unauthenticated endpoints bound to the internal Docker bridge interface to the local network. On Linux, this configuration does not restrict access to the app as intended, allowing any device on the same network to reach these endpoints without authentication. Home Assistant Supervisor 2026.03.02 addresses the issue.
W trybie sieci hosta (host network mode) aplikacje Home Assistant wiążą swoje endpointy z wewnętrznym interfejsem Docker bridge. Na systemach Linux konfiguracja ta nie ogranicza dostępu zgodnie z zamierzeniem — izolacja sieciowa nie działa prawidłowo. W efekcie dowolne urządzenie obecne w tej samej sieci lokalnej może bezpośrednio komunikować się z tymi endpointami, omijając mechanizmy uwierzytelniania (CWE-923: improper restriction of communication channel to intended endpoints).
Atakujący z dostępem do sieci lokalnej może bez uwierzytelnienia uzyskać dostęp do funkcji eksponowanych przez aplikacje Home Assistant, co może prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu automatyki domowej.
Należy zaktualizować Home Assistant Supervisor do wersji 2026.03.02 lub nowszej, która zawiera poprawkę eliminującą opisany problem. Szczegóły dostępne są w oficjalnym security advisory producenta.
Home Assistant Supervisor w wersjach poprzedzających 2026.03.02, gdy aplikacje (add-ony) skonfigurowane są w trybie host network mode i działają na systemie Linux.
Podatność wymaga dostępu do tej samej sieci lokalnej (wektor AV:A), co ogranicza zasięg ataku do sieci LAN. Zakres podatności obejmuje jednak eskalację poza kontener (S:C), co wpłynęło na ocenę CVSS 9.6 (CRITICAL).
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H