Bcat

**Nome do Software Vulnerável e Versões Afetadas** Versões do ESPHome 2025.8.0 **Descrição** A verificação de autenticação do `web server` do ESPHome pode ser aprovada incorretamente quando o valor de `Authorization` fornecido pelo cliente, codificado em base64, estiver vazio ou for uma substring do valor correto. Isso permite o acesso à funcionalidade do `web server`, incluindo atualizações Over-The-Air (OTA) se habilitadas, sem conhecer o nome de usuário ou a senha corretos. O problema é causado por uma falha na função `AsyncWebServerRequest::authenticate`, que compara apenas uma porção da string de nome de usuário e senha codificada em base64. Um atacante na rede local pode explorar isso para contornar completamente a autenticação e assumir o controle de dispositivos de automação residencial. O processo de autenticação do componente `web server` é vulnerável devido à validação inadequada do cabeçalho `Authorization` codificado em base64. O componente vulnerável é o `web server` e o parâmetro vulnerável é o cabeçalho `Authorization`. **Recomendações** Atualize para o ESPHome versão 2025.8.1 ou posterior.