1. 墨知首页
  2. 漏洞

Frigate config 端点存在反序列化漏洞 (CVE-2023-45672)

漏洞
漏洞类型 反序列化 发现时间 2023-10-31 漏洞等级 高危
MPS编号 MPS-2lgp-otxu CVE编号 CVE-2023-45672 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Frigate 是一个基于实时AI目标检测的开源NVR。
v0.13.0 Beta 3 之前版本中,由于 builtin.py#load_config_with_no_duplicates 方法为对用户可控的配置文件内容进行过滤,攻击者可通过伪造恶意页面等诱导用户通过UI的 /config 端点或 /api/config/save Api节点上传包含恶意负载的配置文件,通过反序列化执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2lgp-otxu

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
frigate (-∞, 0.13.0 Beta 3) 更新 升级frigate到 0.13.0 Beta 3 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-2lgp-otxu

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2lgp-otxu

https://nvd.nist.gov/vuln/detail/CVE-2023-45672

https://github.com/blakeblackshear/frigate/commit/14d2b79c720d480654e4f1bfa97084056593f11e

https://github.com/blakeblackshear/frigate/security/advisories/GHSA-qp3h-4q62-p428

(0)
上一篇 2023年10月27日 下午4:00
下一篇 2023年11月1日 下午12:00

相关推荐

  • Apache OFBiz 路径遍历漏洞 (CVE-2024-36104)

    漏洞类型 路径遍历 发现时间 2024-06-03 漏洞等级 严重 MPS编号 MPS-xb5v-24ik CVE编号 CVE-2024-36104 漏洞影响广度 漏洞危害 OSCS 描述 Apache OFBiz是一个著名的电子商务平台,提供了创建基于最新J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商…

    漏洞 2024年6月4日
    0
  • Argo CD 存在 CSRF 漏洞 (CVE-2024-28175) 漏洞

    Argo CD 存在 CSRF 漏洞 (CVE-2024-28175)

    漏洞类型 CSRF 发现时间 2024-03-14 漏洞等级 严重 MPS编号 MPS-foxv-68g9 CVE编号 CVE-2024-28175 漏洞影响广度 广 漏洞危害 OSCS 描述 Argo CD 是一个声明式的 GitOps 持续交付工具,用于在 Kubernetes 环境中进行应用程序的持续交付和部署管理。 受影响版本中,由于未对 argoc…

    2024年3月15日
    0
  • PowerJob<=4.3.3 远程代码执行漏洞 (CVE-2023-37754)[有POC] 漏洞

    PowerJob<=4.3.3 远程代码执行漏洞 (CVE-2023-37754)[有POC]

    漏洞类型 代码注入 发现时间 2023/7/26 漏洞等级 严重 MPS编号 MPS-ycmw-pl41 CVE编号 CVE-2023-37754 漏洞影响广度 一般 漏洞危害 OSCS 描述 PowerJob 是一款开源的分布式任务调度框架。由于 PowerJob 未对网关进行鉴权,4.3.3 及之前版本中,未经授权的攻击者可向 /instance/det…

    2023年8月11日
    0
  • Apache Hadoop YARN Secure Containers 权限提升漏洞 (CVE-2023-26031) 漏洞

    Apache Hadoop YARN Secure Containers 权限提升漏洞 (CVE-2023-26031)

    漏洞类型 输入验证不恰当 发现时间 2023-11-16 漏洞等级 高危 MPS编号 MPS-2023-4973 CVE编号 CVE-2023-26031 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Hadoop是美国阿帕奇(Apache)基金会的一套开源的分布式系统基础架构。YARN Secure Containers功能用于在隔离的 lin…

    2023年11月17日
    0
  • RocketMQ NameServer存在远程代码执行漏洞 (CVE-2023-37582)[有POC] 漏洞

    RocketMQ NameServer存在远程代码执行漏洞 (CVE-2023-37582)[有POC]

    漏洞类型 代码注入 发现时间 2023/7/12 漏洞等级 高危 MPS编号 MPS-suce-h9wp CVE编号 CVE-2023-37582 漏洞影响广度 广 漏洞危害OSCS 描述RocketMQ 是一个开源的分布式消息中间件,NameServer 为 Producer 和 Consumer 节点提供路由信息的组件。由于 CVE-2023-33246…

    2023年8月31日
    0