Home Assistant corrige dos fallos críticos de seguridad y actualiza su sistema operativo

Fuentes: Home Assistant: Update stopft Informationsleck

Home Assistant ha parchado dos vulnerabilidades de alta gravedad en su plataforma de domótica. La más grave afectaba a un endpoint de la API que solo verificaba la autenticación en operaciones de escritura (PUT y POST), pero no en las de lectura (GET), lo que permitía a usuarios con acceso al puerto HTTP —el 8123 por defecto en la red local— consultar sin autorización el estado del panel de alarmas y la topología de los dispositivos. Catalogada como CVE-2026-54317 con una puntuación CVSS de 7,6, la brecha se corrige en Home Assistant 2026.6.0, publicado a principios de junio.

La segunda vulnerabilidad, CVE-2026-54318 (CVSS 7,1), reside en las aplicaciones Companion para Android. Cualquier app instalada podía enviar información manipulada al BroadcastReceiver del LocationSensorManager, incluyendo resultados de ubicación falsificados del servicio de Google Play, lo que daba pie a activar automatizaciones basadas en zonas como la apertura de puertas, la desactivación de la alarma o la apertura del garaje. El fallo se subsana en Home Assistant Companion 2026.5.3.

En paralelo, el proyecto ha lanzado Home Assistant OS 18, una versión de mantenimiento que actualiza el kernel de Linux a la rama 6.18, Docker a la versión 29.5.3, containerd a 2.2.4 y Buildroot a 2025.02.14. La nueva edición acelera el flasheo de imágenes, revisa la lógica del tamaño del archivo de intercambio y permite actualizar el bootloader de Raspberry Pi desde la propia interfaz de Home Assistant, exigiendo al Raspberry Pi 5 al menos la firmware 2025-02-12.