In der ESP-IDF-Plattform der ESPHome-Firmwarebasis f\u00fchrt eine nun entdeckte Sicherheitsl\u00fccke dazu, dass Angreifer eine Authentifizierung umgehen k\u00f6nnen. Das erm\u00f6glicht ihnen sogar, eigene Firmware auf verwundbare Controller zu verfrachten.<\/p>\n
ESPHome ist ein Entwicklungssystem, mit dem sich Mikrocontroller einfach in Heimautomatisierungssysteme einbinden lassen. Entwickler erstellen Firmwares auf dieser Basis etwa f\u00fcr Controllerboards mit ESP32-Mikroprozessoren und programmieren eigene Funktionen dazu. ESPHome liefert n\u00fctzliche Funktionen wie Over-the-Air-Updates (OTA) gleich mit, sodass Programmierer sich nicht weiter damit auseinandersetzen m\u00fcssen.<\/p>\n
Ein neuer Schwachstelleneintrag vom Montag<\/a> dieser Woche er\u00f6rtert die Sicherheitsl\u00fccke in der Firmware. Die ESPHome-Entwickler f\u00fchren darin aus, dass die „web_server“-Authentifizierungspr\u00fcfung der ESP-IDF-Plattform f\u00e4lschlicherweise bestanden wird, wenn der clientseitig \u00fcbergebene, Base64-kodierte Autorisierungswert leer ist oder lediglich einen Teil des korrekten Werts enth\u00e4lt. „Das erlaubt Zugriff auf die ‚web_server‘-Funktionen (einschlie\u00dflich OTA, wenn es aktiviert ist), ohne jedwede Information \u00fcber den korrekten Usernamen oder Passwort zu haben“, erkl\u00e4ren die Programmierer (CVE-2025-57808 \/ noch kein EUVD, CVSS 8.1<\/strong>, Risiko „hoch<\/strong>„).<\/p>\n Unklarer Status zu verwundbaren ESPHome-Versionen<\/p>\n Der Fehler wurde dem Schwachstelleneintrag zufolge mit ESPHome 2025.8.0 eingef\u00fchrt \u2013 jedoch will der Schwachstellenmelder das Problem auch mit ESPHome 2025.7.5 verifiziert haben. Auf Github geht <\/a>der Meldende noch etwas tiefer in die Details des Sicherheitsproblems. ESPHome 2025.8.1 oder neuer dichtet das Sicherheitsleck hingegen ab. Aktuell ist das Release ESPHome 2025.8.2 vom Wochenende<\/a>.<\/p>\n Wer ESPHome-basierte Firmwares auf seinen Internet-of-Things-Ger\u00e4ten einsetzt, sollte die Aktualisierung auf die j\u00fcngste Firmware-Basis vornehmen. Aufgrund der Widerspr\u00fcche zu den verwundbaren Versionen sollten auch ESPHome-Versionen vor 2025.8.0 auf den neuen Stand gebracht werden.<\/p>\n Mitte vergangenen Jahres hatten Updates f\u00fcr Home Assistant daf\u00fcr gesorgt, dass Over-the-Air-Updates mit \u00e4lteren ESPHome-Projekten<\/a> lediglich zu Fehlermeldungen f\u00fchrten. Ursache war, dass seitdem der Parameter „platform“ f\u00fcr OTA-Aktualisierungen \u00fcbergeben werden muss, der in \u00e4lteren Projekten schlicht nicht angegeben war.<\/p>\n