Vulnerabilidad en Home Assistant (CVE-2023-50715)

Home Assistant es un software de domótica de código abierto. Antes de la versión 2023.12.3, la página de inicio de sesión revela todas las cuentas de usuario activas a cualquier solicitud de navegación no autenticada que se origine en la red de área local. La versión 2023.12.3 contiene un parche para este problema. Al iniciar la versión Home Assistant 2023.12, la página de inicio de sesión devuelve todas las cuentas de usuario actualmente activas a las solicitudes de navegación de la red de área local. Las pruebas demostraron que esto ocurre cuando la solicitud no está autenticada y la solicitud se originó localmente, es decir, en la subred local del host de Home Assistant o en cualquier otra subred privada. La razón detrás de esto es hacer que el inicio de sesión sea más fácil de usar y una experiencia mejor alineada con otras aplicaciones que tienen múltiples perfiles de usuario. Sin embargo, como resultado, se muestran todas las cuentas independientemente de que hayan iniciado sesión o no y para cualquier dispositivo que navegue hasta el servidor. Esta divulgación se ve mitigada por el hecho de que solo ocurre para solicitudes que se originan en una dirección LAN. Pero tenga en cuenta que esto se aplica a la subred local donde reside Home Assistant y a cualquier subred privada que pueda acceder a ella.