Highjesserockz

**Nome do software vulnerável e versões afetadas** Versões do ESPHome de 2023.12.9 a 2024.2.x Versão 2023.12.9 do ESPHome **Descrição** O componente do painel do ESPHome contém pontos de extremidade de API vulneráveis a Cross-Site Request Forgery (CSRF), permitindo que invasores remotos realizem ataques contra um usuário conectado ao painel para executar operações em arquivos de configuração, como criar, editar e excluir. Um agente mal-intencionado pode criar uma página da web especialmente criada para acionar uma solicitação entre sites contra o ESPHome, contornando a autenticação para chamadas de API na plataforma. Esse problema pode ser combinado com outra vulnerabilidade para obter o controle total da conta do usuário. A vítima deve visitar uma página maliciosa para acionar a vulnerabilidade. **Recomendações** Para a versão 2023.12.9 do ESPHome, atualize para a versão 2024.3.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao componente do painel de controle para minimizar o risco de exploração. Evite usar o componente do painel de controle até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do ESPHome de 2023.12.9 a 2024.2.0 **Descrição** Uma falha de configuração de segurança na API de edição do arquivo de configuração do componente do painel do ESPHome permite que invasores remotos autenticados leiam e gravem arquivos arbitrários no diretório de configuração, possibilitando a execução remota de código. Essa vulnerabilidade concede acesso de leitura e gravação a arquivos no diretório de configuração e permite que usuários mal-intencionados escrevam código arbitrário em scripts Python executados durante a compilação e a gravação de firmwares para placas ESP. Ela também permite o acesso a informações confidenciais, como o arquivo esphome.json e o código-fonte do firmware da placa, possibilitando que um usuário modifique o firmware da placa e vaze segredos, tais como credenciais de rede Wi-Fi, credenciais de hotspot de fallback, senha de autenticação do componente OTA e chave de criptografia da API. **Recomendações** Para a versão 2023.12.9 do ESPHome, atualize para a versão 2024.2.1 para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao diretório de configuração para minimizar o risco de exploração. Evite usar o parâmetro `configuration` no endpoint da API `/edit` até que a vulnerabilidade seja resolvida.