Vulnerabilidad en Home Assistant Core (CVE-2025-25305)

Home Assistant Core es una automatización de origen de código abierto que pone primero el control local y la privacidad. Las versiones afectadas están sujetas a los posibles ataques de hombre en el medio debido a la verificación de certificado SSL faltante en la base de código del proyecto y usaron de terceros librerías. En el pasado, `aiohttp-session`/` request 'tenía el parámetro `verify_ssl` para controlar la verificación del certificado SSL. Este era un valor booleano. En `aiohttp` 3.0, este parámetro estaba desapercibido a favor del parámetro` SSL`. Solo cuando `SSL` se establece en` None` o se proporciona con un contexto SSL configurado correcto, la verificación de certificado SSL estándar ocurrirá. Al migrar las integraciones en el Asistente de inicio librerías Aries utilizados por el Asistente de inicio, en algunos casos el valor del parámetro `Verify_SSL` se movió al nuevo parámetro` SSL`. Esto dio como resultado estas integraciones y librerías usando `request.ssl ??= true`, que desactivó involuntariamente la verificación del certificado SSL y abrió un vector de ataque de hombre en el medio. Este problema se ha abordado en la versión 2024.1.6 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.