Vulnerabilidad en "web_server" en ESPHome (CVE-2021-41104)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
28/09/2021
Última modificación:
07/10/2021
Descripción
ESPHome es un sistema para controlar el ESP8266/ESP32. Cualquiera que tenga web_server habilitado y la autenticación básica HTTP configurada en la versión 2021.9.1 o anterior, es vulnerable a un problema en el que "web_server" permite actualizaciones over-the-air (OTA) sin comprobar el nombre de usuario y la contraseña de autenticación básica definidos por el usuario. Este problema ha sido parcheado en la versión 2021.9.2. Como solución, se puede deshabilitar o eliminar "web_server"
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:esphome:esphome_firmware:*:*:*:*:*:*:*:* | 2021.9.2 (excluyendo) | |
| cpe:2.3:h:espressif:esp32:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:espressif:esp8266:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página