Renenulschde

Nome do Software Vulnerável e Versões Afetadas: Versões do Home Assistant Core anteriores a 2024.1.6 Descrição: O problema envolve um potencial ataque do tipo man-in-the-middle devido à falta de verificação de certificado SSL na base de código do projeto e nas bibliotecas de terceiros utilizadas. Anteriormente, `aiohttp-session`/`request` possuíam o parâmetro `verify ssl` para controlar a verificação de certificado SSL, que era um valor booleano. No entanto, no `aiohttp` 3.0, este parâmetro foi descontinuado em favor do parâmetro `ssl`. Quando `ssl` é definido como `None` ou fornecido com um contexto SSL configurado corretamente, a verificação padrão do certificado SSL será realizada. Durante a migração, algumas integrações e bibliotecas de terceiros utilizaram `request.ssl = True`, desativando inadvertidamente a verificação de certificado SSL. Isso abriu um vetor de ataque do tipo man-in-the-middle. Recomendações: Para versões anteriores a 2024.1.6, atualize para a versão 2024.1.6 para corrigir o problema. Como medida de contorno temporária, considere desativar o uso de `ssl=True` nas integrações e bibliotecas afetadas até que o problema seja resolvido. Restrinja o acesso aos endpoints de API afetados, como aqueles que utilizam `aiohttp-session`/`request`, para minimizar o risco de exploração. Evite usar o parâmetro `ssl` com o valor `True` nos endpoints de API afetados até que o problema seja resolvido.