CVE-2024-27287

ESPHome, versões 2023.12.9 a 2024.2.2

A vulnerabilidade permite que um usuário autenticado remotamente injete scripts web arbitrários e exfiltre cookies de sessão por meio de Cross-Site Scripting. Um usuário autenticado mal-intencionado pode injetar Javascript arbitrário em arquivos de configuração usando uma solicitação POST para o endpoint “/edit”, com o parâmetro de configuração permitindo a especificação do arquivo a ser gravado. Para acionar a vulnerabilidade, a vítima deve visitar a página “/edit?configuration=[arquivo xss]”. Isso poderia permitir que um agente mal-intencionado realizasse operações no painel em nome de um usuário conectado, acessasse informações confidenciais, criasse, editasse e excluísse arquivos de configuração e atualizasse o firmware em placas gerenciadas. Além disso, os cookies não estão protegidos corretamente, permitindo a exfiltração de valores de cookies de sessão.

Para as versões do ESPHome 2023.12.9 a 2024.2.2, atualize para a versão 2024.2.2 ou posterior, que contém um patch para este problema. Como solução temporária, considere restringir o acesso ao endpoint “/edit” para minimizar o risco de exploração. Evite usar o parâmetro de configuração no endpoint da API afetado até que o problema seja resolvido.