Home Assistant corrige una fuga de información y refuerza la seguridad en su última versión

Fuentes: Home Assistant: Update stopft Informationsleck

El proyecto Home Assistant ha publicado una actualización que subsana dos vulnerabilidades calificadas de alto riesgo. La más grave afectaba a un endpoint de la API que verificaba la autenticación en operaciones de escritura (PUT y POST), pero no en las de lectura (GET), lo que permitía a atacantes con acceso al puerto HTTP 8123 consultar sin autorización el estado del panel de alarmas y la topología de los dispositivos (CVE-2026-54317, CVSS 7,6). El fallo quedó resuelto en Home Assistant 2026.6.0, publicado a principios de mes.

La segunda vulnerabilidad, presente en las aplicaciones Companion para Android, permitía que cualquier app instalada enviase al BroadcastReceiver del LocationSensorManager datos de ubicación伪造ados desde Google Play Services. Un atacante podía explotar esta vía para activar automatizaciones sensibles, como abrir puertas, desactivar la alarma o abrir la puerta del garaje (CVE-2026-54318, CVSS 7,1). La corrección llega con Home Assistant Companion 2026.5.3.

En paralelo, el proyecto ha liberado Home Assistant OS 18, una versión de mantenimiento que actualiza el kernel de Linux a la rama 6.18, Docker a la 29.5.3, containerd a la 2.2.4 y Buildroot a 2025.02.14. Entre las novedades figuran una escritura más rápida de las imágenes, una nueva lógica para el tamaño del archivo de intercambio y la posibilidad de actualizar el bootloader de la Raspberry Pi directamente desde Home Assistant. La Raspberry Pi 5 requiere ahora al menos el firmware del 12 de febrero de 2025.