安全性
Home Assistant 非常重视其安全性。我们将尽一切努力确保用户的安全。
此页面旨在提供关于如何向我们报告安全问题及其处理方式的信息。此外,它还提供了我们过去处理的安全问题的详细信息。
报告漏洞
那么,您在 Home Assistant 中发现了安全漏洞吗?请务必通过 使用 GitHub 的安全咨询报告漏洞
请勿针对安全漏洞创建公共问题!
我们主要对熟悉该平台的实际 Home Assistant 用户的报告感兴趣,但所有高质量的贡献都是受欢迎的。请尽力清晰且现实地描述您报告中的影响。
为了用户的安全,请 🙏 不要在未通知我们并给予我们至少 90 天时间发布修复版本的情况下公开漏洞。我们将尽力在 7 天内回复您的报告,并随时通知您我们解决该问题的进展,但请理解,Home Assistant 像许多开源项目一样,严重依靠不是全职资源的志愿者。由于其它责任,我们可能无法像您希望的那样迅速回复。
如果您打算讨论 Home Assistant 的安全性,请 与我们联系,以便我们确保所有声明都是正确的。
不符合资格的漏洞
我们不会接受以下类型的漏洞报告:
- 来自自动化工具或扫描器的报告。
- 没有可利用性证明的理论攻击。
- 由于第三方应用程序或库导致的攻击(这些应报告给库维护者)。
- 社会工程。
- 需要用户访问 Home Assistant 主机系统的攻击。
- 涉及用户设备的物理访问的攻击,或涉及已严重受损的设备或网络(例如,中间人攻击)。
- 需要用户安装恶意其他软件的攻击,例如第三方集成、插件或附加功能。
- 用户只能对自己的设置进行的攻击。
- 对已登录用户的特权提升攻击。Home Assistant 假设每个用户都是可信的,并不强制用户权限。它假设每个已登录用户具有与所有者帐户相同的访问权限(更多信息)。
支持的版本
我们只接受针对最新稳定和官方版本的 Home Assistant 或任何当前处于开发或测试中的版本的报告。最新版本可以在我们的 GitHub 发布页面
我们不接受针对 Home Assistant 分支的报告。
严重性评分
如果您熟悉 CVSS3.1
如果您打算提供评分,请先熟悉 CVSS(我们强烈建议阅读 规范
公开披露和 CVE 分配
我们将发布 GitHub 安全咨询,并通过它请求 CVE,对于符合以下标准的有效漏洞:
- 漏洞位于 Home Assistant 本身,而不是第三方库。
- 漏洞尚未为我们所知。
- 漏洞尚未为公众所知。
- CVE 仅针对严重性为中等或更高的漏洞进行请求。
奖励
作为一个开源项目,Home Assistant 无法为安全漏洞提供奖励。但是,如果有需要,我们当然会给予发现漏洞的人员致谢。
过去的咨询
以下是 Home Assistant 项目发布的过去安全咨询列表。
2025-02-18: 核心与使用的库中对外请求的 SSL 验证不正确
严重性:高 (CVSS: 7.0)
详细信息:安全咨询
分配的 CVE:CVE-2025-25305
发现者:ReneNulschDE
修复版本:Home Assistant Core 2024.1.6
2023-12-14: 用户账户在本地网络中向未验证的用户公开
严重性:中等 (CVSS: 4.2)
详细信息:安全咨询
分配的 CVE:CVE-2023-50715
发现者:r01k
修复版本:Home Assistant Core 2023.12.3
2023-10-19: helpers/version/action.yml 中的 Actions 表达式注入
严重性:低 (这是一个内部项目)
详细信息:安全咨询
发现者:Jorge Rosillo
修复版本:2023年9月5日发布的 Home Assistant GitHub Actions
2023-10-19: MyActivity.kt 中的 Android WebView 任意 URL 加载
严重性:高 (CVSS: 8.6)
详细信息:安全咨询
分配的 CVE:CVE-2023-41898
发现者:Tony Torralba
修复版本:Home Assistant for Android 2023.9.2
2023-10-19: 核心中的部分服务器端请求伪造
严重性:低
详细信息:安全咨询
分配的 CVE:CVE-2023-41899
发现者:Alvaro Muñoz
修复版本:Home Assistant Core 2023.9
2023-10-19: iOS/macOS 原生应用中的客户端请求伪造
严重性:高 (CVSS: 8.6)
详细信息:安全咨询
分配的 CVE:CVE-2023-44385
发现者:Alvaro Muñoz
修复版本:Home Assistant for iOS 2023.7
2023-10-19: 通过 auth_callback 登录的账户接管
严重性:低
详细信息:安全咨询
分配的 CVE:CVE-2023-41893
发现者:Cure53
修复版本:Home Assistant Core 2023.9
2023-10-19: 通过 auth_callback 登录的 JavaScript URI 完全接管
严重性:严重
详细信息:安全咨询
分配的 CVE:CVE-2023-41895
发现者:Cure53
修复版本:Home Assistant Core 2023.9
2023-10-19: 仅本地的 Webhooks 可通过 SniTun 外部访问
严重性:低
详细信息:安全咨询
分配的 CVE:CVE-2023-41894
发现者:Cure53
修复版本:Home Assistant Core 2023.9
2023-10-19: 假的 WS 服务器安装允许完全接管
严重性:严重
详细信息:安全咨询
分配的 CVE:CVE-2023-41896
发现者:Cure53
修复版本:Home Assistant Core 2023.9 和 home-assistant-js-websocket 8.2.0 (npm)
2023-10-19: 缺少 XFO 头允许 clickjacking
严重性:严重
详细信息:安全咨询
分配的 CVE:CVE-2023-41897
发现者:Cure53
修复版本:Home Assistant Core 2023.9
2023-03-08: 认证旁路监督 API
严重性:严重 (CVSS: 10.0)
详细信息:安全咨询
分配的 CVE:CVE-2023-27482
发现者:Joseph Surin
修复版本:Home Assistant Core 2023.3.2,以及 Home Assistant Supervisor 2023.03.3
2017-10-11: Markdown 输出中的跨站脚本攻击
严重性:中等 (CVSS: 6.1)
详细信息:拉取请求
分配的 CVE:CVE-2017-16782
发现者:Marcin Teodorczyk 来自 intive.com
修复版本:Home Assistant Core 0.57
这个安全页面深受 OctoPrint