1. 墨知首页
  2. 漏洞

Frigate config 端点存在反序列化漏洞 (CVE-2023-45672)

漏洞
漏洞类型 反序列化 发现时间 2023-10-31 漏洞等级 高危
MPS编号 MPS-2lgp-otxu CVE编号 CVE-2023-45672 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Frigate 是一个基于实时AI目标检测的开源NVR。
v0.13.0 Beta 3 之前版本中,由于 builtin.py#load_config_with_no_duplicates 方法为对用户可控的配置文件内容进行过滤,攻击者可通过伪造恶意页面等诱导用户通过UI的 /config 端点或 /api/config/save Api节点上传包含恶意负载的配置文件,通过反序列化执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2lgp-otxu

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
frigate (-∞, 0.13.0 Beta 3) 更新 升级frigate到 0.13.0 Beta 3 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-2lgp-otxu

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2lgp-otxu

https://nvd.nist.gov/vuln/detail/CVE-2023-45672

https://github.com/blakeblackshear/frigate/commit/14d2b79c720d480654e4f1bfa97084056593f11e

https://github.com/blakeblackshear/frigate/security/advisories/GHSA-qp3h-4q62-p428

(0)
上一篇 2023年10月27日 下午4:00
下一篇 2023年11月1日 下午12:00

相关推荐

  • Apache Johnzon 拒绝服务漏洞 (CVE-2023-33008) 漏洞

    Apache Johnzon 拒绝服务漏洞 (CVE-2023-33008)

    漏洞类型 ReDoS 发现时间 2023/7/7 漏洞等级 中危 MPS编号 MPS-2zow-5vi7 CVE编号 CVE-2023-33008 漏洞影响广度 极小 漏洞危害 OSCS 描述 Apache Johnzon 是用于解析和创建 JSONP 的 Java 库。在 Apache Johnzon 受影响版本中,由于BigDecimal#toBigIn…

    2023年8月30日
    0
  • JumpServer 命令绕过漏洞 (CVE-2023-48193) 漏洞

    JumpServer 命令绕过漏洞 (CVE-2023-48193)

    漏洞类型 授权机制不恰当 发现时间 2023-11-29 漏洞等级 中危 MPS编号 MPS-20vd-8lzy CVE编号 CVE-2023-48193 漏洞影响广度 广 漏洞危害 OSCS 描述 JumpServer 是一款开源的堡垒机。 受影响版本中,当JumpServer在设置命令过滤功能时,攻击者可以通过将过滤后的命令保存在一个.sh 脚本中,直接…

    2023年11月29日
    0
  • Google Chrome Blink 内存越界访问漏洞 (CVE-2024-1669) 漏洞

    Google Chrome Blink 内存越界访问漏洞 (CVE-2024-1669)

    漏洞类型 越界读取 发现时间 2024-02-21 漏洞等级 高危 MPS编号 MPS-e80z-3t4y CVE编号 CVE-2024-1669 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome 是谷歌公司开发的一款Web浏览器,其中使用的Blink作为其渲染引擎。 在受影响的版本中,Blink引擎的Web Neural Networ…

    2024年2月22日
    0
  • Torchserve 存在Zip Slip漏洞 (CVE-2023-48299) 漏洞

    Torchserve 存在Zip Slip漏洞 (CVE-2023-48299)

    漏洞类型 相对路径遍历 发现时间 2023-11-22 漏洞等级 中危 MPS编号 MPS-boq6-8t0d CVE编号 CVE-2023-48299 漏洞影响广度 小 漏洞危害 OSCS 描述 Torchserve 是 Facebook 公司开发的深度学习模型部署框架,可用于快捷部署 pytorch 模型。 Torchserve 受影响版本中,由于 Zi…

    2023年11月23日
    0
  • OGC WPS 服务端请求伪造 (CVE-2023-43795) 漏洞

    OGC WPS 服务端请求伪造 (CVE-2023-43795)

    漏洞类型 SSRF 发现时间 2023-10-25 漏洞等级 高危 MPS编号 MPS-fie8-1z7r CVE编号 CVE-2023-43795 漏洞影响广度 一般 漏洞危害 OSCS 描述 OGC WPS 是一个允许通过网络请求执行各种地理信息任务的地理信息处理标准。 OGC WPS规范允许对外部URL进行引用,导致攻击者能构造恶意请求,引用恶意的外部…

    2023年10月25日
    0