web_server allows OTA update without checking user defined basic auth username & password 漏洞信息(CVE-2021-41104)

一、漏洞 CVE-2021-41104 基础信息

漏洞标题

网服务器允许OTA更新，而无需检查用户定义的基本授权用户名和密码。

来源：AIGC 神龙大模型

漏洞描述信息

web_server允许在不检查用户定义的基本认证用户名和密码的情况下进行OTA更新。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

web_server allows OTA update without checking user defined basic auth username & password

来源：美国国家漏洞数据库 NVD

漏洞描述信息

ESPHome is a system to control the ESP8266/ESP32. Anyone with web_server enabled and HTTP basic auth configured on version 2021.9.1 or older is vulnerable to an issue in which `web_server` allows over-the-air (OTA) updates without checking user defined basic auth username & password. This issue is patched in version 2021.9.2. As a workaround, one may disable or remove `web_server`.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

关键功能的认证机制缺失

来源：美国国家漏洞数据库 NVD

漏洞标题

Esphome 访问控制错误漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Esphome是一个配置、管理智能硬件的系统。用于控制Esp8266/Esp32硬件，实现家庭自动化控制。 ESPHome 2021.9.1及之前版本存在访问控制错误漏洞，该漏洞源于用户容易受到"web_server"允许无线(OTA)更新而无需检查用户定义的基本身份验证用户名和密码的问题。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

授权问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2021-41104 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2021-41104 的情报信息

https://github.com/esphome/esphome/security/advisories/GHSA-48mj-p7x2-5jfm x_refsource_CONFIRM
https://github.com/esphome/esphome/pull/2409/commits/207cde1667d8c799a197b78ca8a5a14de8d5ca1e x_refsource_MISC
https://github.com/esphome/esphome/releases/tag/2021.9.2 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2021-41104

一、 漏洞 CVE-2021-41104 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2021-41104 的公开POC

三、漏洞 CVE-2021-41104 的情报信息

一、漏洞 CVE-2021-41104 基础信息