PT-2024-22673 · Esphome · Esphome
Highjesserockz
·
Publicado
2024-03-06
·
Atualizado
2024-04-11
·
CVE-2024-29019
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do ESPHome de 2023.12.9 a 2024.2.x
Versão 2023.12.9 do ESPHome
Descrição
O componente do painel do ESPHome contém pontos de extremidade de API vulneráveis a Cross-Site Request Forgery (CSRF), permitindo que invasores remotos realizem ataques contra um usuário conectado ao painel para executar operações em arquivos de configuração, como criar, editar e excluir. Um agente mal-intencionado pode criar uma página da web especialmente criada para acionar uma solicitação entre sites contra o ESPHome, contornando a autenticação para chamadas de API na plataforma. Esse problema pode ser combinado com outra vulnerabilidade para obter o controle total da conta do usuário. A vítima deve visitar uma página maliciosa para acionar a vulnerabilidade.
Recomendações
Para a versão 2023.12.9 do ESPHome, atualize para a versão 2024.3.0 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso ao componente do painel de controle para minimizar o risco de exploração.
Evite usar o componente do painel de controle até que o problema seja resolvido.
Exploit
Correção
XSS
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Esphome