CVE-2025-25305

Nome do Software Vulnerável e Versões Afetadas: Versões do Home Assistant Core anteriores a 2024.1.6

Descrição: O problema envolve um potencial ataque do tipo man-in-the-middle devido à falta de verificação de certificado SSL na base de código do projeto e nas bibliotecas de terceiros utilizadas. Anteriormente, aiohttp-session/request possuíam o parâmetro verify ssl para controlar a verificação de certificado SSL, que era um valor booleano. No entanto, no aiohttp 3.0, este parâmetro foi descontinuado em favor do parâmetro ssl. Quando ssl é definido como None ou fornecido com um contexto SSL configurado corretamente, a verificação padrão do certificado SSL será realizada. Durante a migração, algumas integrações e bibliotecas de terceiros utilizaram request.ssl = True, desativando inadvertidamente a verificação de certificado SSL. Isso abriu um vetor de ataque do tipo man-in-the-middle.

Recomendações: Para versões anteriores a 2024.1.6, atualize para a versão 2024.1.6 para corrigir o problema. Como medida de contorno temporária, considere desativar o uso de ssl=True nas integrações e bibliotecas afetadas até que o problema seja resolvido. Restrinja o acesso aos endpoints de API afetados, como aqueles que utilizam aiohttp-session/request, para minimizar o risco de exploração. Evite usar o parâmetro ssl com o valor True nos endpoints de API afetados até que o problema seja resolvido.