Heimautomatisierung: ESPHome-Lücke erlaubt volle Kompromittierung

In der ESP-IDF-Plattform der ESPHome-Firmwarebasis führt eine nun entdeckte Sicherheitslücke dazu, dass Angreifer eine Authentifizierung umgehen können. Das ermöglicht ihnen sogar, eigene Firmware auf verwundbare Controller zu verfrachten.

ESPHome ist ein Entwicklungssystem, mit dem sich Mikrocontroller einfach in Heimautomatisierungssysteme einbinden lassen. Entwickler erstellen Firmwares auf dieser Basis etwa für Controllerboards mit ESP32-Mikroprozessoren und programmieren eigene Funktionen dazu. ESPHome liefert nützliche Funktionen wie Over-the-Air-Updates (OTA) gleich mit, sodass Programmierer sich nicht weiter damit auseinandersetzen müssen.

Ein neuer Schwachstelleneintrag vom Montag dieser Woche erörtert die Sicherheitslücke in der Firmware. Die ESPHome-Entwickler führen darin aus, dass die „web_server“-Authentifizierungsprüfung der ESP-IDF-Plattform fälschlicherweise bestanden wird, wenn der clientseitig übergebene, Base64-kodierte Autorisierungswert leer ist oder lediglich einen Teil des korrekten Werts enthält. „Das erlaubt Zugriff auf die ‚web_server‘-Funktionen (einschließlich OTA, wenn es aktiviert ist), ohne jedwede Information über den korrekten Usernamen oder Passwort zu haben“, erklären die Programmierer (CVE-2025-57808 / noch kein EUVD, CVSS 8.1, Risiko „hoch„).

Unklarer Status zu verwundbaren ESPHome-Versionen

Der Fehler wurde dem Schwachstelleneintrag zufolge mit ESPHome 2025.8.0 eingeführt – jedoch will der Schwachstellenmelder das Problem auch mit ESPHome 2025.7.5 verifiziert haben. Auf Github geht der Meldende noch etwas tiefer in die Details des Sicherheitsproblems. ESPHome 2025.8.1 oder neuer dichtet das Sicherheitsleck hingegen ab. Aktuell ist das Release ESPHome 2025.8.2 vom Wochenende.

Wer ESPHome-basierte Firmwares auf seinen Internet-of-Things-Geräten einsetzt, sollte die Aktualisierung auf die jüngste Firmware-Basis vornehmen. Aufgrund der Widersprüche zu den verwundbaren Versionen sollten auch ESPHome-Versionen vor 2025.8.0 auf den neuen Stand gebracht werden.

Mitte vergangenen Jahres hatten Updates für Home Assistant dafür gesorgt, dass Over-the-Air-Updates mit älteren ESPHome-Projekten lediglich zu Fehlermeldungen führten. Ursache war, dass seitdem der Parameter „platform“ für OTA-Aktualisierungen übergeben werden muss, der in älteren Projekten schlicht nicht angegeben war.

(dmk)