CRITICAL🇬🇧 English

CVE-2026-34205

Home Assistant Supervisor — nieuwierzytelniony dostęp do endpointów przez Docker bridge

CVSS 9.6v3.1pub. 2026-03-27upd. 2026-03-30

Aplikacje (add-ony) Home Assistant skonfigurowane w trybie sieci hosta eksponują nieuwierzytelnione endpointy powiązane z wewnętrznym interfejsem Docker bridge na sieć lokalną. Każde urządzenie w tej samej sieci może uzyskać dostęp do tych endpointów bez żadnego uwierzytelnienia, co stanowi poważne zagrożenie dla bezpieczeństwa instalacji.

Pokaż oryginał (EN)

Home Assistant is open source home automation software that puts local control and privacy first. Home Assistant apps (formerly add-ons) configured with host network mode expose unauthenticated endpoints bound to the internal Docker bridge interface to the local network. On Linux, this configuration does not restrict access to the app as intended, allowing any device on the same network to reach these endpoints without authentication. Home Assistant Supervisor 2026.03.02 addresses the issue.

🤖 Analiza AI
Jak działa

W trybie sieci hosta (host network mode) aplikacje Home Assistant wiążą swoje endpointy z wewnętrznym interfejsem Docker bridge. Na systemach Linux konfiguracja ta nie ogranicza dostępu zgodnie z zamierzeniem — izolacja sieciowa nie działa prawidłowo. W efekcie dowolne urządzenie obecne w tej samej sieci lokalnej może bezpośrednio komunikować się z tymi endpointami, omijając mechanizmy uwierzytelniania (CWE-923: improper restriction of communication channel to intended endpoints).

Skutki

Atakujący z dostępem do sieci lokalnej może bez uwierzytelnienia uzyskać dostęp do funkcji eksponowanych przez aplikacje Home Assistant, co może prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu automatyki domowej.

Mitygacja

Należy zaktualizować Home Assistant Supervisor do wersji 2026.03.02 lub nowszej, która zawiera poprawkę eliminującą opisany problem. Szczegóły dostępne są w oficjalnym security advisory producenta.

Kogo dotyczy

Home Assistant Supervisor w wersjach poprzedzających 2026.03.02, gdy aplikacje (add-ony) skonfigurowane są w trybie host network mode i działają na systemie Linux.

Uwagi

Podatność wymaga dostępu do tej samej sieci lokalnej (wektor AV:A), co ogranicza zasięg ataku do sieci LAN. Zakres podatności obejmuje jednak eskalację poza kontener (S:C), co wpłynęło na ocenę CVSS 9.6 (CRITICAL).

CVSS Vector
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Container
CWE
Referencje