1. 墨知首页
  2. 漏洞

Frigate config 端点存在反序列化漏洞 (CVE-2023-45672)

漏洞
漏洞类型 反序列化 发现时间 2023-10-31 漏洞等级 高危
MPS编号 MPS-2lgp-otxu CVE编号 CVE-2023-45672 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Frigate 是一个基于实时AI目标检测的开源NVR。
v0.13.0 Beta 3 之前版本中,由于 builtin.py#load_config_with_no_duplicates 方法为对用户可控的配置文件内容进行过滤,攻击者可通过伪造恶意页面等诱导用户通过UI的 /config 端点或 /api/config/save Api节点上传包含恶意负载的配置文件,通过反序列化执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2lgp-otxu

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
frigate (-∞, 0.13.0 Beta 3) 更新 升级frigate到 0.13.0 Beta 3 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-2lgp-otxu

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2lgp-otxu

https://nvd.nist.gov/vuln/detail/CVE-2023-45672

https://github.com/blakeblackshear/frigate/commit/14d2b79c720d480654e4f1bfa97084056593f11e

https://github.com/blakeblackshear/frigate/security/advisories/GHSA-qp3h-4q62-p428

(0)
上一篇 2023年10月27日 下午4:00
下一篇 2023年11月1日 下午12:00

相关推荐

  • pbkdf2 在node.js < 3.0 下生成固定密钥漏洞 (CVE-2025-6547) 漏洞

    pbkdf2 在node.js < 3.0 下生成固定密钥漏洞 (CVE-2025-6547)

    漏洞类型 输入验证不恰当 发现时间 2025-06-24 漏洞等级 严重 MPS编号 MPS-ailh-k1fp CVE编号 CVE-2025-6547 漏洞影响广度 漏洞危害 OSCS 描述 pbkdf2 是一个开源的 NPM 组件,提供了 PBKDF2 (Password-Based Key Derivation Function 2) 算法的 Java…

    2025年6月25日
    0
  • 泛微e-cology < v10.75 /js/hrm/getdata.jsp 未授权SQL注入漏洞 (MPS-ui2a-byv3) 漏洞

    泛微e-cology < v10.75 /js/hrm/getdata.jsp 未授权SQL注入漏洞 (MPS-ui2a-byv3)

    漏洞类型 SQL注入 发现时间 2025-06-17 漏洞等级 严重 MPS编号 MPS-ui2a-byv3 CVE编号 – 漏洞影响广度 漏洞危害 OSCS 描述 泛微e-cology是泛微公司开发的协同管理应用平台。 受影响版本中,/js/hrm/getdata.jsp 存在 SQL 注入漏洞,由于其中调用 weaver.hrm.common…

    2025年6月20日
    0

  • Apache Zeppelin Shell解释器 命令执行漏洞 (CVE-2024-31861)

    漏洞类型 OS命令注入 发现时间 2024-04-11 漏洞等级 严重 MPS编号 MPS-dxnp-u5h3 CVE编号 CVE-2024-31861 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Zeppelin是一款基于 Web 可实现交互式数据分析的notebook产品。 Apache Zeppelin 中 sh 解释器类型的 noteb…

    漏洞 2024年4月15日
    0
  • OpenSSL TLSv1.3 拒绝服务漏洞 (CVE-2024-2511) 漏洞

    OpenSSL TLSv1.3 拒绝服务漏洞 (CVE-2024-2511)

    漏洞类型 拒绝服务 发现时间 2024-04-09 漏洞等级 低危 MPS编号 MPS-1nsb-30rg CVE编号 CVE-2024-2511 漏洞影响广度 广 漏洞危害 OSCS 描述 OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。 当服务器启用了SSL_OP_NO_TI…

    2024年4月9日
    0
  • Google Chrome blink渲染引擎存在 UAF 漏洞 (CVE-2023-5997) 漏洞

    Google Chrome blink渲染引擎存在 UAF 漏洞 (CVE-2023-5997)

    漏洞类型 UAF 发现时间 2023-11-15 漏洞等级 高危 MPS编号 MPS-kmx8-3zoh CVE编号 CVE-2023-5997 漏洞影响广度 一般 漏洞危害 OSCS 描述 Google Chrome 是 Google 公司开发的网页浏览器。blink 是一个Chromium用来解析和渲染的网页的引擎。 在 blink 渲染引擎中,处理网络…

    2023年11月16日
    0