CVE-2024-27081

Versões do ESPHome de 2023.12.9 a 2024.2.0

Uma falha de configuração de segurança na API de edição do arquivo de configuração do componente do painel do ESPHome permite que invasores remotos autenticados leiam e gravem arquivos arbitrários no diretório de configuração, possibilitando a execução remota de código. Essa vulnerabilidade concede acesso de leitura e gravação a arquivos no diretório de configuração e permite que usuários mal-intencionados escrevam código arbitrário em scripts Python executados durante a compilação e a gravação de firmwares para placas ESP. Ela também permite o acesso a informações confidenciais, como o arquivo esphome.json e o código-fonte do firmware da placa, possibilitando que um usuário modifique o firmware da placa e vaze segredos, tais como credenciais de rede Wi-Fi, credenciais de hotspot de fallback, senha de autenticação do componente OTA e chave de criptografia da API.

Para a versão 2023.12.9 do ESPHome, atualize para a versão 2024.2.1 para resolver a vulnerabilidade.

Como solução temporária, considere restringir o acesso ao diretório de configuração para minimizar o risco de exploração.

Evite usar o parâmetro configuration no endpoint da API /edit até que a vulnerabilidade seja resolvida.