CVE-2026-40602

Name of the Vulnerable Software and Affected Versions home-assistant-cli versões anteriores a 1.0.0

Description A interface de linha de comando do Home Assistant (hass-cli) utilizava um ambiente irrestrito em vez de um ambiente sandboxed para lidar com templates Jinja2. A entrada fornecida pelo usuário dentro desses templates era renderizada localmente sem restrições, permitindo o acesso aos internos do Python e expandindo as capacidades de templating além do uso pretendido. Isso pode levar à execução de código arbitrário na máquina local se um usuário for convencido a renderizar templates de terceiros maliciosos usando a flag --local. O problema afeta apenas a máquina local e requer a intervenção do usuário.

Recommendations Atualizar para a versão 1.0.0. Avaliar os templates Jinja2 manualmente ou por meio de ferramentas antes de renderizá-los com o hass-cli.