Frigate config 端点存在反序列化漏洞 (CVE-2023-45672)

漏洞类型 反序列化 发现时间 2023-10-31 漏洞等级 高危
MPS编号 MPS-2lgp-otxu CVE编号 CVE-2023-45672 漏洞影响广度 一般

漏洞危害

OSCS 描述
Frigate 是一个基于实时AI目标检测的开源NVR。
v0.13.0 Beta 3 之前版本中,由于 builtin.py#load_config_with_no_duplicates 方法为对用户可控的配置文件内容进行过滤,攻击者可通过伪造恶意页面等诱导用户通过UI的 /config 端点或 /api/config/save Api节点上传包含恶意负载的配置文件,通过反序列化执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2lgp-otxu

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
frigate (-∞, 0.13.0 Beta 3) 更新 升级frigate到 0.13.0 Beta 3 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-2lgp-otxu

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2lgp-otxu

https://nvd.nist.gov/vuln/detail/CVE-2023-45672

https://github.com/blakeblackshear/frigate/commit/14d2b79c720d480654e4f1bfa97084056593f11e

https://github.com/blakeblackshear/frigate/security/advisories/GHSA-qp3h-4q62-p428

(0)
上一篇 2023年10月27日 下午4:00
下一篇 2023年11月1日 下午12:00

相关推荐

  • Microsoft Word NTLM哈希信息泄露漏洞 (CVE-2023-36761)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-09-13 漏洞等级 中危 MPS编号 MPS-mir2-plxk CVE编号 CVE-2023-36761 漏洞影响广度 广 漏洞危害 OSCS 描述 Microsoft Office Word是微软公司的一个文字处理器应用程序。 Microsoft Word受影响版本中存在信息泄露漏洞,使用预览窗格对文件…

    2023年9月14日
    0
  • Apache Struts2 存在远程代码执行漏洞 (CVE-2023-50164)

    漏洞类型 对外部实体的文件或目录可访问 发现时间 2023-12-07 漏洞等级 严重 MPS编号 MPS-5qa9-hjgt CVE编号 CVE-2023-50164 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Struts是美国阿帕奇(Apache)基金会的开源Web项目,是一套用于创建企业级Java Web应用的开源MVC框架。 在受影响…

    2023年12月8日
    0
  • Node.js setuid 权限管理不当漏洞 (CVE-2024-22017)

    漏洞类型 权限管理不当 发现时间 2024-03-19 漏洞等级 高危 MPS编号 MPS-53sx-8oyz CVE编号 CVE-2024-22017 漏洞影响广度 广 漏洞危害 OSCS 描述 Node.js 是开源、跨平台的 JavaScript 运行时环境。io_uring是Linux内核提供的一种高性能异步I/O机制。 在受影响的版本中,由于lib…

    2024年3月25日
    0
  • WinRAR<6.23 远程代码执行漏洞 (CVE-2023-40477) [有POC]

    漏洞类型 代码注入 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-5gjf-qwc6 CVE编号 CVE-2023-40477 漏洞影响广度 广 漏洞危害 OSCS 描述 WinRAR 是一款适用于 Windows 系统的压缩包管理器,其恢复卷功能用于修复损坏或丢失的压缩文件数据。 WinRAR 6.23之前版本的恢复卷功能未对用户提供…

    2023年8月22日
    0
  • Envoy PROXY协议身份验证绕过漏洞 (CVE-2024-23324)

    漏洞类型 输入验证不恰当 发现时间 2024-02-10 漏洞等级 高危 MPS编号 MPS-x4yl-9mrt CVE编号 CVE-2024-23324 漏洞影响广度 小 漏洞危害 OSCS 描述 Envoy 是一款高性能的服务代理。 在受影响版本中,由于PROXY协议实现未过滤非UTF-8字符,当 failure_mode_allow 设置为 true …

    2024年2月12日
    0