{"id":14153,"date":"2025-09-02T08:20:47","date_gmt":"2025-09-02T08:20:47","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/09\/02\/sicherheitsluecke-in-esphome-plattform-ermoeglicht-unbefugten-zugriff-auf-iot-geraete\/"},"modified":"2025-09-02T08:20:47","modified_gmt":"2025-09-02T08:20:47","slug":"sicherheitsluecke-in-esphome-plattform-ermoeglicht-unbefugten-zugriff-auf-iot-geraete","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=14153","title":{"rendered":"Sicherheitsl\u00fccke in ESPHome-Plattform erm\u00f6glicht unbefugten Zugriff auf IoT-Ger\u00e4te"},"content":{"rendered":"<p>Die k\u00fcrzlich entdeckte Sicherheitsl\u00fccke innerhalb der ESP-IDF-Plattform, die Grundlage der ESPHome-Firmware, erm\u00f6glicht Angreifern die Umgehung der Authentifizierung und somit einen unbefugten Zugriff auf sensible Funktionen. Dieses Problem betrifft Systeme, in denen Mikrocontroller \u00fcber ESPHome in Heimautomatisierungssysteme integriert sind, wie beispielsweise Controllerboards mit ESP32-Mikroprozessoren, die mit individuellen Firmwares zum Betrieb spezifischer Funktionen programmiert werden.<\/p>\n<p>ESPHome vereinfacht die Entwicklung solcher Firmware durch Features wie Over-the-Air-Updates (OTA), die ohne zus\u00e4tzliche Programmieraufw\u00e4nde zur Verf\u00fcgung stehen. Eine Sicherheitsanalyse vom vergangenen Montag brachte die Schwachstelle in den Fokus, die sich in der web_server-Authentifizierungspr\u00fcfung der ESP-IDF-Plattform befindet. Diese Pr\u00fcfung funktioniert fehlerhaft, wenn der clientseitig \u00fcbertragene Base64-kodierte Autorisierungswert leer oder nur teilweise korrekt ist. Dies erm\u00f6glicht Angreifern, ohne korrekte Benutzernamen oder Passw\u00f6rter Zugriff auf die web_server-Funktionen zu erlangen, einschlie\u00dflich des OTA-Updates, falls aktiviert. Die Schwachstelle mit der Bezeichnung CVE-2025-57808 (noch kein EUVD, CVSS 8.1, Risiko hoch) wurde dem Schwachstellenbericht zufolge erstmals mit ESPHome 2025.8.0 eingef\u00fchrt, wobei der Melder das Problem auch in Version 2025.7.5 vermutet. Detailliertere Einblicke in die Funktionsweise des Problems liefert ein Beitrag auf GitHub vom Melder.<\/p>\n<p>Eine sichere L\u00f6sung bietet ESPHome 2025.8.0 oder h\u00f6her. Da Unsicherheiten hinsichtlich der betroffenen Versionen bestehen, sollten auch \u00e4ltere ESPHome-Versionen vor 2025.8.0 auf die neueste Firmware aktualisiert werden. Diese Aktualisierung ist besonders relevant f\u00fcr Nutzer, die ESPHome-basierte Firmwares in ihren IoT-Ger\u00e4ten einsetzen, um unbefugten Zugriffen und potenziellen Sicherheitsrisiken vorzubeugen. Im Kontext fr\u00fcherer Ereignisse, etwa Mitte letzten Jahres, als Updates von Home Assistant mit \u00e4lteren ESPHome-Projekten nur zu Fehlermeldungen f\u00fchrten, weil der Parameter platform f\u00fcr OTA-Aktualisierungen in \u00e4lteren Projekten fehlte, unterstreicht die Notwendigkeit regelm\u00e4\u00dfiger Updates und Anpassungen an Firmware und Systeme zur Gew\u00e4hrleistung eines reibungslosen Betriebs und der Sicherheit.<\/p>\n<p>Schlagw\u00f6rter: ESPHome 2025.8.0 + OTA + CVE-2025-57808<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die k\u00fcrzlich entdeckte Sicherheitsl\u00fccke innerhalb der ESP-IDF-Plattform, die Grundlage der ESPHome-Firmware, erm\u00f6glicht Angreifern die Umgehung der Authentifizierung und somit einen unbefugten Zugriff auf sensible Funktionen. Dieses Problem betrifft Systeme, in denen Mikrocontroller \u00fcber ESPHome in Heimautomatisierungssysteme integriert sind, wie beispielsweise Controllerboards mit ESP32-Mikroprozessoren, die mit individuellen Firmwares zum Betrieb spezifischer&#46;&#46;&#46;<\/p>\n","protected":false},"author":6,"featured_media":14152,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14153","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14153","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14153"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14153\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/14152"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14153"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14153"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14153"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}