Frigate config 端点存在反序列化漏洞 (CVE-2023-45672)

2023年10月31日下午2:00 • 漏洞

漏洞类型	反序列化	发现时间	2023-10-31	漏洞等级	高危
MPS编号	MPS-2lgp-otxu	CVE编号	CVE-2023-45672	漏洞影响广度	一般

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

Frigate 是一个基于实时AI目标检测的开源NVR。
v0.13.0 Beta 3 之前版本中，由于 builtin.py#load_config_with_no_duplicates 方法为对用户可控的配置文件内容进行过滤，攻击者可通过伪造恶意页面等诱导用户通过UI的 /config 端点或 /api/config/save Api节点上传包含恶意负载的配置文件，通过反序列化执行任意代码。
参考链接：https://www.oscs1024.com/hd/MPS-2lgp-otxu

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
frigate (-∞, 0.13.0 Beta 3)	更新	升级frigate到 0.13.0 Beta 3 或更高版本
参考链接：https://www.oscs1024.com/hd/MPS-2lgp-otxu

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2lgp-otxu

https://nvd.nist.gov/vuln/detail/CVE-2023-45672

https://github.com/blakeblackshear/frigate/commit/14d2b79c720d480654e4f1bfa97084056593f11e

https://github.com/blakeblackshear/frigate/security/advisories/GHSA-qp3h-4q62-p428

CVE-2023-45672 漏洞

赞 (0)

F5 BIG-IP 远程代码执行漏洞 (CVE-2023-46747)

上一篇 2023年10月27日下午4:00

Atlassian Confluence Data Center/Server 身份验证不当漏洞 (CVE-2023-22518)

下一篇 2023年11月1日下午12:00

漏洞

WPS Office 远程代码执行漏洞(WPSSRC-2023-0701绕过) (MPS-qjky-hw9x)

漏洞类型代码注入发现时间 2023-08-22 漏洞等级高危 MPS编号 MPS-qjky-hw9x CVE编号 – 漏洞影响广度广漏洞危害 OSCS 描述 WPS Office 软件是由金山办公软件股份有限公司自主研发的一款办公软件套装。由于对 WPSSRC-2023-0701 的修复不充分，WPS Office Windows 版本…

2023年8月23日
00
漏洞

TorchServe SSRF 漏洞 (CVE-2023-43654)

漏洞类型 SSRF 发现时间 2023-10-03 漏洞等级严重 MPS编号 MPS-ak9p-vdbw CVE编号 CVE-2023-43654 漏洞影响广度小漏洞危害 OSCS 描述 TorchServe 是用于在生产环境中提供和扩展 PyTorch 模型的服务。由于默认配置未限制模型URL来源，攻击者可以调用平台API接口（如http://IP…

2023年10月9日
00
漏洞

minizip-ng<4.0.3 存在堆缓冲区溢出漏洞 (CVE-2023-48106)

漏洞类型堆缓冲区溢出发现时间 2023-11-23 漏洞等级高危 MPS编号 MPS-7wpn-d9ve CVE编号 CVE-2023-48106 漏洞影响广度小漏洞危害 OSCS 描述 minizip-ng 是一个开源的压缩库，用于创建和解压ZIP格式文件。 minizip-ng 4.0.3之前版本中的 mz_os.c#mz_path_resol…

2023年11月23日
00
kkFileView 4.2.0-4.4.0 任意文件上传导致远程执行漏洞 (MPS-wzyc-o678)

漏洞类型任意文件上传发现时间 2024-04-17 漏洞等级严重 MPS编号 MPS-wzyc-o678 CVE编号 – 漏洞影响广度小漏洞危害 OSCS 描述 kkFileView是使用spring boot搭建的文件文档在线预览解决方案，支持主流办公文档的在线预览。 kkFileView 4.2.0 到4.4.0-beta版本中文件…

漏洞 2024年4月17日
00
漏洞

Google Chrome V8< 13.6.86 类型混淆漏洞

【高危】Google Chrome V8< 13.6.86 类型混淆漏洞漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器，V8 是 Google 开发的高性能开源 JavaScript 和 WebAssembly 引擎，广泛应用于 Chrome 浏览器和 Node.js 等环境。受影响版本中，V8 Turbosh…

2025年7月16日
00