CVE-2024-27287

ESPHome is a system to control your ESP8266/ESP32 for Home Automation systems. Starting in version 2023.12.9 and prior to version 2024.2.2, editing the configuration file API in dashboard component of ESPHome version 2023.12.9 (command line installation and Home Assistant add-on) serves unsanitized data with `Content-Type: text/html; charset=UTF-8`, allowing a remote authenticated user to inject arbitrary web script and exfiltrate session cookies via Cross-Site scripting. It is possible for a malicious authenticated user to inject arbitrary Javascript in configuration files using a POST request to the /edit endpoint, the configuration parameter allows to specify the file to write. To trigger the XSS vulnerability, the victim must visit the page` /edit?configuration=[xss file]`. Abusing this vulnerability a malicious actor could perform operations on the dashboard on the behalf of a logged user, access sensitive information, create, edit and delete configuration files and flash firmware on managed boards. In addition to this, cookies are not correctly secured, allowing the exfiltration of session cookie values. Version 2024.2.2 contains a patch for this issue.

CVSS v3 6.5 MEDIUM

6.5^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.2 / Impact : 5.2

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required HIGH

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/esphome/esphome/commit/37d2b3c7977a4ccbec59726ca7549cb776661455
https://github.com/esphome/esphome/security/advisories/GHSA-9p43-hj5j-96h5
https://github.com/esphome/esphome/commit/37d2b3c7977a4ccbec59726ca7549cb776661455
https://github.com/esphome/esphome/security/advisories/GHSA-9p43-hj5j-96h5

Configurations

No configuration.

History

21 Nov 2024, 09:04

Type	Values Removed	Values Added
References	~~() https://github.com/esphome/esphome/commit/37d2b3c7977a4ccbec59726ca7549cb776661455 -~~	() https://github.com/esphome/esphome/commit/37d2b3c7977a4ccbec59726ca7549cb776661455 -
References	~~() https://github.com/esphome/esphome/security/advisories/GHSA-9p43-hj5j-96h5 -~~	() https://github.com/esphome/esphome/security/advisories/GHSA-9p43-hj5j-96h5 -
Summary		(es) ESPHome es un sistema para controlar su ESP8266/ESP32 para sistemas de domótica. A partir de la versión 2023.12.9 y antes de la versión 2024.2.2, la edición del archivo de configuración API en el componente del panel de ESPHome versión 2023.12.9 (instalación de línea de comando y complemento Home Assistant) proporciona datos no desinfectados con `Tipo de contenido: texto/ HTML; charset=UTF-8`, lo que permite a un usuario autenticado remoto inyectar secuencias de comandos web arbitrarias y extraer cookies de sesión mediante secuencias de comandos entre sitios. Es posible que un usuario autenticado malicioso inyecte Javascript arbitrario en archivos de configuración mediante una solicitud POST al punto final /edit; el parámetro de configuración permite especificar el archivo a escribir. Para activar la vulnerabilidad XSS, la víctima debe visitar la página ` /edit?configuration=[archivo xss]`. Al abusar de esta vulnerabilidad, un actor malintencionado podría realizar operaciones en el tablero en nombre de un usuario registrado, acceder a información confidencial, crear, editar y eliminar archivos de configuración y actualizar firmware en tableros administrados. Además de esto, las cookies no están protegidas correctamente, lo que permite la filtración de los valores de las cookies de sesión. La versión 2024.2.2 contiene un parche para este problema.

06 Mar 2024, 19:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-03-06 19:15

Updated : 2024-11-21 09:04

NVD link : CVE-2024-27287

Mitre link : CVE-2024-27287

CVE.ORG link : CVE-2024-27287

JSON object : View

Products Affected

No product.

CWE

CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

6.5 /10