CVE-2026-44698

Nome do Software Vulnerável e Versões Afetadas Home Assistant Companion app para iOS versões anteriores a 2026.4.1 Home Assistant Companion app para Android versões anteriores a 2026.4.4

Description Os aplicativos Home Assistant Companion para Android e iOS expõem uma ponte JavaScript ao WebView interno. No Android, isso ocorre via 'window.externalApp' e, no iOS, via 'webkit.messageHandlers.getExternalAuth', 'revokeExternalAuth' e 'externalBus'. Duas falhas permitem que essa ponte seja acessada por todos os frames, incluindo iframes de origens cruzadas (cross-origin). Além disso, a interpolação não sanitizada do identificador de callback JavaScript permite que um iframe de origem cruzada renderizado no aplicativo execute JavaScript arbitrário na origem do frame principal do frontend do Home Assistant, possibilitando a exfiltração do token de acesso do usuário autenticado.

Recommendations Atualize o aplicativo iOS para a versão 2026.4.1. Atualize o aplicativo Android para a versão 2026.4.4.