Esphome’un Web Server bileşeninde keşfedilen kritik bir güvenlik açığı, binlerce akıllı ev cihazını yetkisiz erişim haline getirerek ESP-IDF platform uygulamalarında temel kimlik doğrulama korumalarını etkili bir şekilde geçersiz kıldı.
CVSS skoru 8.1 olan CVE-2025-57808 olarak adlandırılan kusur, Esphome sürüm 2025.8.0’ı etkiler ve saldırganların meşru kimlik bilgisi bilgisi olmadan kimlik doğrulama mekanizmalarını atlamasına izin verir.
Güvenlik açığı, Esphome’un içindeki HTTP temel kimlik doğrulama kontrolünde temel bir mantık hatasından kaynaklanmaktadır. web_server_idf bileşen.
Kimlik doğrulama isteklerini işlerken, sistem AsyncWebServerRequest::authenticate İşlev, baytları yalnızca tam kimlik bilgisi dizesini doğrulamak yerine istemci tarafından desteklenen yetkilendirme değerinin uzunluğuyla karşılaştırır.
Bu uygulama kusuru, cihaz güvenliğini tamamen tehlikeye atan iki farklı saldırı vektörü oluşturur.
Bu güvenlik açığının en ciddi yönü, saldırganların sadece bir talep göndererek tam erişim elde edebileceği boş yetkilendirme başlıklarını içerir. Authorization: Basic ardından boş bir dize.
GitHub analistleri, bu saldırı vektörünün kullanıcı adları veya şifreler hakkında önceden bilgi gerektirmediğini belirleyerek, ağa katılan saldırganlar için özellikle tehlikeli hale getirdi.
Ayrıca, kusur kısmi şifre eşleşmelerini kabul eder, yani doğru şifrenin alt çizgisini bile keşfeden bir saldırgan başarıyla doğrulanabilir.
Saldırı mekanizması ve teknik sömürü
Güvenlik Açığı Teknik Foundation, Base64 kodlu kimlik bilgilerini işleyen uygunsuz dize karşılaştırma mantığında yatmaktadır.
Meşru bir cihaz gibi kimlik bilgileriyle yapılandırıldığında user:somereallylongpass (olarak kodlanır dXNlcjpzb21lcmVhbGx5bG9uZ3Bhc3M=), kusurlu kimlik doğrulama kontrolü gibi daha kısa ipleri kabul eder. dXNlcjpz (temsil ediyor user:s) geçerli kimlik bilgileri olarak.
Pratik sömürü minimum teknik karmaşıklık gerektirir. Saldırganlar, güvenlik açığını göstermek için basit curl komutlarını kullanabilir:-
curl -D- -H 'Authorization: Basic ' http://target.local/Bu komut, beklenen 401 yetkisiz durum yerine HTTP 200 yanıtlarını döndürerek kimlik doğrulamasını tamamen atlar.
Güvenlik açığı, saldırganlar cihaz ürün yazılımı ve yapılandırma ayarları üzerinde tam kontrol sahibi olduğundan, APT (OTA) güncelleme işlevselliğinin etkinleştirildiği zaman, özellikle de ilgili hale gelir.
Esphome, 2025.8.1 sürümündeki bu kritik kusuru ele aldı ve kısmi eşleşmelerden ziyade tam yetkilendirme dizelerini karşılaştıran uygun kimlik bilgileri doğrulaması uyguladı.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.