Durch eine Sicherheitslücke in RasberryMatic können Angreifer das System von außen übernehmen. Ein Update steht bereits zur Verfügung und sollte daher umgehend eingespielt werden.
Die Sicherheitslücke mit der Bezeichnung CVE-2022-24796 (CVSS 10.0, Risiko kritisch) erlaubt es, über die Upload-Möglichkeit der Weboberfläche (WebUI) beliebige Befehle einzuschleusen. Da an dieser Stelle keine ausreichende Filterung von Benutzereingaben erfolgt, werden die Daten an die Shell im root-Kontext durchgereicht und können dort mit vollen Rechten ausgeführt werden. Für einen Angriff reicht wohl eine einfache HTTP-Anfrage aus.
Das jüngst veröffentlichte Update von RaspberryMatic schließt diese Lücke und sollte daher schnellstmöglich eingespielt werden.
An dieser Stelle sei nochmals ausdrücklich erwähnt, das man seine HomeMatic-Zentrale niemals(!) via Port-Forwarding über das Internet zugänglich machen sollte.
