1. 墨知首页
  2. 漏洞

Frigate config 端点存在反序列化漏洞 (CVE-2023-45672)

漏洞
漏洞类型 反序列化 发现时间 2023-10-31 漏洞等级 高危
MPS编号 MPS-2lgp-otxu CVE编号 CVE-2023-45672 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Frigate 是一个基于实时AI目标检测的开源NVR。
v0.13.0 Beta 3 之前版本中,由于 builtin.py#load_config_with_no_duplicates 方法为对用户可控的配置文件内容进行过滤,攻击者可通过伪造恶意页面等诱导用户通过UI的 /config 端点或 /api/config/save Api节点上传包含恶意负载的配置文件,通过反序列化执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2lgp-otxu

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
frigate (-∞, 0.13.0 Beta 3) 更新 升级frigate到 0.13.0 Beta 3 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-2lgp-otxu

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2lgp-otxu

https://nvd.nist.gov/vuln/detail/CVE-2023-45672

https://github.com/blakeblackshear/frigate/commit/14d2b79c720d480654e4f1bfa97084056593f11e

https://github.com/blakeblackshear/frigate/security/advisories/GHSA-qp3h-4q62-p428

(0)
上一篇 2023年10月27日 下午4:00
下一篇 2023年11月1日 下午12:00

相关推荐

  • Redis hyperloglog 越界写入导致远程代码执行漏洞 漏洞

    Redis hyperloglog 越界写入导致远程代码执行漏洞

    【高危】Redis hyperloglog 越界写入导致远程代码执行漏洞 漏洞描述 Redis HyperLogLog 是一种概率性数据结构,它能以极小的、恒定的内存空间来高效地估算一个集合中不重复元素的数量(即基数)。受影响版本中,在解析 HyperLogLog 稀疏编码数据时,由于未能充分验证其操作码中的运行长度(run-length),攻击者可构造恶意…

    2025年7月8日
    0
  • OctoPrint<1.9.3 任意命令执行漏洞 (CVE-2023-41047) 漏洞

    OctoPrint<1.9.3 任意命令执行漏洞 (CVE-2023-41047)

    漏洞类型 模板注入 发现时间 2023-10-10 漏洞等级 中危 MPS编号 MPS-ftvy-n7x2 CVE编号 CVE-2023-41047 漏洞影响广度 一般 漏洞危害 OSCS 描述 OctoPrint是一个开源的3D打印机管理和控制软件,提供用户界面以监控和控制3D打印过程,支持远程访问和插件扩展。 在OctoPrint受影响的版本中,允许恶意…

    2023年10月10日
    0
  • PyPI仓库 pytensorlite 组件窃取用户敏感信息 漏洞

    PyPI仓库 pytensorlite 组件窃取用户敏感信息

    【高危】PyPI仓库 pytensorlite 组件窃取用户敏感信息 漏洞描述 当用户安装受影响版本的 pytensorlite Python组件包时会窃取用户的浏览器、Discord/加密货币钱包、社交媒体应用(Instagram、TikTok、ProtonMail)等敏感数据信息,并发送到攻击者的 Discord Webhook 地址。 MPS编号 MP…

    2025年8月21日
    0
  • Microsoft WordPad NTLM hash 泄露风险 (CVE-2023-36563) 漏洞

    Microsoft WordPad NTLM hash 泄露风险 (CVE-2023-36563)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-11-01 漏洞等级 中危 MPS编号 MPS-q4c3-r0wz CVE编号 CVE-2023-36563 漏洞影响广度 小 漏洞危害 OSCS 描述 WordPad 是微软开发的写字板。2023年9月1日,微软宣布WordPad弃用,并在之后的Windows更新中删除。NTLM hash 是 Window…

    2023年11月2日
    0
  • GitLab 以其他用户身份执行 Slack 命令 (CVE-2023-5356) 漏洞

    GitLab 以其他用户身份执行 Slack 命令 (CVE-2023-5356)

    漏洞类型 身份验证错误 发现时间 2024-01-12 漏洞等级 严重 MPS编号 MPS-pf0c-qykt CVE编号 CVE-2023-5356 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。使用 Slack 命令在 Slack 聊天环境中运行常见的 GitLab 操作。 GitLa…

    2024年1月12日
    0