CVE-2026-44698— Home Assistant WebView JS桥接注入导致访问令牌泄露
可能的 ATT&CK 技术 1AI
T1530 · Data from Cloud Storage影响版本矩阵 3
| 厂商 | 产品 | 版本范围 | 状态 |
|---|---|---|---|
| Home Assistant | Companion app (Android) | < 2026.4.4 | affected |
| Home Assistant | Companion app (iOS) | < 2026.4.1 | affected |
| home-assistant | core | < 2026.4.4 | affected |
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-44698 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Home Assistant: Cross-origin iframe access token exfiltration via WebView JS bridge callback injection
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Home Assistant is open source home automation software that puts local control and privacy first. Prior to 2026.4.1 for iOS and 2026.4.4 for Android, he Home Assistant Companion apps for Android and iOS expose a JavaScript bridge to the in-app WebView window.externalApp on Android and webkit.messageHandlers.getExternalAuth (alongside revokeExternalAuth and externalBus) on iOS. Two flaws expose the bridge to all frames (including cross-origin iframes) and unsanitized interpolation of the JavaScript callback identifier allows a cross-origin iframe rendered inside the Companion app to execute arbitrary JavaScript in the Home Assistant frontend's main-frame origin and exfiltrate the signed-in user's access token. This vulnerability is fixed in 2026.4.1 for iOS and 2026.4.4 for Android.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
对生成代码的控制不恰当(代码注入)
来源: 美国国家漏洞数据库 NVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| home-assistant | core | < 2026.4.4 | - | |
| Home Assistant | Companion app (iOS) | < 2026.4.1 | - | |
| Home Assistant | Companion app (Android) | < 2026.4.4 | - |
二、漏洞 CVE-2026-44698 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-44698 的情报信息
请登录查看更多情报信息。
CVE-2026-44698 厂商安全公告 (1)
IV. Related Vulnerabilities
V. Comments for CVE-2026-44698
暂无评论