Vulnerabilidad en ESPHome (CVE-2024-27081)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
26/02/2024
Última modificación:
07/02/2025
Descripción
ESPHome es un sistema para controlar su ESP8266/ESP32. Una mala configuración de seguridad en la API de edición del archivo de configuración en el componente del tablero de ESPHome versión 2023.12.9 (instalación de línea de comando) permite a atacantes remotos autenticados leer y escribir archivos arbitrarios en el directorio de configuración, lo que hace posible la ejecución remota de código. Esta vulnerabilidad está parcheada en 2024.2.1.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:esphome:esphome:2023.12.9:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/esphome/esphome/commit/d814ed1d4adc71fde47c4df41215bee449884513
- https://github.com/esphome/esphome/security/advisories/GHSA-8p25-3q46-8q2p
- https://github.com/esphome/esphome/commit/d814ed1d4adc71fde47c4df41215bee449884513
- https://github.com/esphome/esphome/security/advisories/GHSA-8p25-3q46-8q2p