Home Assistant Community Store (HACS) 1.10.0 contains a path traversal vulnerability that allows unauthenticated attackers to read sensitive files by traversing directories via the /hacsfiles/ endpoint. Attackers can retrieve the .storage/auth file containing user credentials and refresh tokens, then craft valid JWT tokens to gain administrative access to Home Assistant instances.
HACS 1.10.0 contains a path traversal vulnerability in the /hacsfiles/ endpoint allowing unauthenticated attackers to read sensitive files including authentication credentials. Attackers can extract user credentials and refresh tokens to forge JWT tokens and gain administrative access to Home Assistant instances.
ثغرة path traversal في Home Assistant Community Store (HACS) الإصدار 1.10.0 تسمح للمهاجمين غير المصرح لهم بالوصول إلى الملفات الحساسة عبر نقطة نهاية /hacsfiles/. يمكن للمهاجمين استخراج ملف .storage/auth الذي يحتوي على بيانات اعتماد المستخدم وتوكنات التحديث ثم صياغة توكنات JWT صحيحة للحصول على وصول إداري كامل.
HACS 1.10.0 يحتوي على ثغرة traversal في نقطة نهاية /hacsfiles/ تسمح للمهاجمين غير المصرح لهم بقراءة الملفات الحساسة. يمكن للمهاجمين استخراج بيانات اعتماد المستخدم وتوكنات التحديث لتزوير توكنات JWT والحصول على وصول إداري.
Upgrade HACS to version 1.10.1 or later immediately. Implement network-level access controls to restrict /hacsfiles/ endpoint access. Review authentication logs for suspicious activity and reset user credentials if compromise is suspected. Disable HACS if immediate patching is not possible.
قم بترقية HACS إلى الإصدار 1.10.1 أو أحدث فوراً. طبق ضوابط الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة نهاية /hacsfiles/. راجع سجلات المصادقة للكشف عن النشاط المريب وأعد تعيين بيانات اعتماد المستخدم إذا اشتبهت في الاختراق. عطل HACS إذا لم يكن الإصلاح الفوري ممكناً.