CVE-2025-57808

Nome do Software Vulnerável e Versões Afetadas Versões do ESPHome 2025.8.0

Descrição A verificação de autenticação do web server do ESPHome pode ser aprovada incorretamente quando o valor de Authorization fornecido pelo cliente, codificado em base64, estiver vazio ou for uma substring do valor correto. Isso permite o acesso à funcionalidade do web server, incluindo atualizações Over-The-Air (OTA) se habilitadas, sem conhecer o nome de usuário ou a senha corretos. O problema é causado por uma falha na função AsyncWebServerRequest::authenticate, que compara apenas uma porção da string de nome de usuário e senha codificada em base64. Um atacante na rede local pode explorar isso para contornar completamente a autenticação e assumir o controle de dispositivos de automação residencial. O processo de autenticação do componente web server é vulnerável devido à validação inadequada do cabeçalho Authorization codificado em base64. O componente vulnerável é o web server e o parâmetro vulnerável é o cabeçalho Authorization.

Recomendações Atualize para o ESPHome versão 2025.8.1 ou posterior.