Katalog CVE

CVE-2026-55844

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Aplikacja towarzysząca Home Assistant na iOS ignoruje listę dozwolonych SSID dla sieci wewnętrznych. Gdy nie znajdzie innego adresu URL, używa wewnętrznego, co może ujawnić token użytkownika w niezabezpieczonej sieci.

Ocena ryzyka

Ryzyko polega na potencjalnym wycieku tokena uwierzytelniającego, co może umożliwić nieautoryzowany dostęp do instancji Home Assistant i przejęcie kontroli nad inteligentnym domem.

Rekomendacja

Zaleca się natychmiastową aktualizację aplikacji towarzyszącej Home Assistant na iOS do wersji 2025.5.0 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Home Assistant is open source home automation software that puts local control and privacy first. Prior to 2025.5.0, The iOS companion app ignores the SSID allowlist for internal networks. The app uses SSID to detect when to use the internal URL, but whenever the app cannot find any other URL to be used, it fallbacks to the internal URL as well, which can expose user's token when connected to a not secure network. This vulnerability is fixed in 2025.5.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS