ESCHOME ürün yazılımı tabanının ESP IDF platformunda, şimdi saldırganın kimlik doğrulamasını önleyebileceğine yönelik bir güvenlik açığı keşfedilen bir güvenlik açığı. Bu aynı zamanda ürün yazılımınızı savunmasız denetleyicilere göndermenizi sağlar.
Esphome, mikrodenetleyicilerin yurtiçi otomasyon sistemlerine entegre edilebileceği bir geliştirme sistemidir. Geliştiriciler, ESP32 mikroişlemcileri ve işlevlerinin programlanması ile denetleyici kartlar için bu tabanda ürün yazılımı oluşturur. ESHOME, Abartılı Güncellemeler (OTA) gibi yararlı işlevler sağlar, böylece programcılar bununla yüzleşmemelidir.
Bu hafta Pazartesi gününden bu yana yeni bir güvenlik açığı öğesi, ürün yazılımındaki güvenlik deliğini tartışıyor. ESPHOME geliştiricileri, ESP IDF platformunun “Web_Server” kimlik doğrulama incelemesinin, istemci tarafı boşsa, Base64 tarafından kodlanan yetkilendirme değeri boşsa veya doğru değerin yalnızca bir kısmını içerdiğini açıklar. “Bu,” Web_Server “işlevlerine (OTA dahil, etkinleştirilirse OTA dahil) erişim sağlar, doğru kullanıcı adı veya şifre hakkında herhangi bir bilgi almadan” CVE-2025-57808 / NO EUV, CVSS 8.1Risk “yüksek“).
Korunmasız sürümlere açık olmayan durum
Güvenlik açığı öğesine göre, hata bir Esphome 2025.8.0 ile tanıtıldı – ancak güvenlik açığı dedektörü, bir expmmy 2025.7.5 ile sorunu doğruladığını iddia ediyor. Github'da, ilişkilerin sonu güvenlik sorununun ayrıntılarında biraz daha derinlemesine gider. Eschome 2025.8.1 veya daha yakın bir tarih, güvenlik kaybını mühürler. Şu anda hafta sonu Esphome 2025.8.2'nin yayınlanması.
ESPHOME merkezli ürünlerin internet cihazlarında bulunan ürün yazılımı kullanan herkes, ürün yazılımının en son temellerini güncellemelidir. Savunmasız sürümlerle çelişkiler nedeniyle, Esphome sürümleri de 2025.8.0'dan önce yeni standa getirilmelidir.
Geçen yılın ortasında, ev asistanı için güncellemeler, eski eschome projeleriyle abartılı güncellemelerin sadece hata mesajlarına yol açmasını sağlamıştı. Bunun nedeni, o zamandan beri en eski projelerde belirtilmeyen OTA güncellemeleri için “platform” parametresinin teslim edilmesi gerektiğiydi.
(DMK)
Bir yanıt yazın