Informazioni sul CVE-2024-29019
ESPHome vulnerable to Authentication bypass via Cross site request forgery
CWE ID: CWE-352
Base Score (CVSS): N/A
CVE: CVE-2024-29019
Descrizione: ESPHome è un sistema per controllare microcontrollori a distanza tramite sistemi di automazione domestica. Gli endpoint API nel componente di dashboard della versione 2023.12.9 (installazione da riga di comando) sono vulnerabili a Cross-Site Request Forgery (CSRF) consentendo agli attaccanti remoti di eseguire attacchi contro un utente autenticato nel dashboard per eseguire operazioni sui file di configurazione (creare, modificare, eliminare). Un attaccante malintenzionato può creare una pagina web specificamente costruita che innesca una richiesta di sito web cross-sito contro ESPHome, consentendo di aggirare l’autenticazione per le chiamate API sul piattaforma. Questo consente di aggirare l’autenticazione per le chiamate API che accedono alle operazioni sui file di configurazione a nome di un utente autenticato. Per attivare la vulnerabilità, il vittima deve visitare una pagina armata. Inoltre, è possibilechainare questa vulnerabilità con GHSA-9p43-hj5j-96h5/ CVE-2024-27287 per ottenere un controllo completo dell’account utente. La versione 2024.3.0 contiene una patch per questo problema.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: Required, Confidenzialità: High, Integrità: High, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/esphome/esphome/security/advisories/GHSA-5925-88xh-6h99
- https://github.com/advisories/GHSA-9p43-hj5j-96h5
Prodotti interessati
- esphome – esphome
Relazioni con altri prodotti
Produttore:esphome
Prodotto: esphome
Anno: 2024
CWE: CWE-352
CVSS: 0.0