CVE-2026-55844
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Aplikacja towarzysząca Home Assistant na iOS ignoruje listę dozwolonych SSID dla sieci wewnętrznych. Gdy nie znajdzie innego adresu URL, używa wewnętrznego, co może ujawnić token użytkownika w niezabezpieczonej sieci.
Ocena ryzyka
Ryzyko polega na potencjalnym wycieku tokena uwierzytelniającego, co może umożliwić nieautoryzowany dostęp do instancji Home Assistant i przejęcie kontroli nad inteligentnym domem.
Rekomendacja
Zaleca się natychmiastową aktualizację aplikacji towarzyszącej Home Assistant na iOS do wersji 2025.5.0 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Home Assistant is open source home automation software that puts local control and privacy first. Prior to 2025.5.0, The iOS companion app ignores the SSID allowlist for internal networks. The app uses SSID to detect when to use the internal URL, but whenever the app cannot find any other URL to be used, it fallbacks to the internal URL as well, which can expose user's token when connected to a not secure network. This vulnerability is fixed in 2025.5.0.

