One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8403213 |
| Date de publication | 2023-10-30 23:15:08 (vue: 2023-10-31 01:07:37) |
| Titre | CVE-2023-45670 |
| Texte | Frigate est un enregistreur vidéo en réseau open source.Avant la version 0.13.0 Beta 3, les points de terminaison `config / Save` et` config / set` ne mettent en œuvre aucune protection CSRF.Cela permet à une demande provenant d'un autre site de mettre à jour la configuration du serveur de frégate (par exemple via l'attaque "Drive-by").L'exploitation de cette vulnérabilité nécessite que l'attaquant connaît tous les deux des informations très spécifiques sur le serveur de frégate d'un utilisateur \\ et nécessite qu'un utilisateur authentifié soit trompé en cliquant sur un lien spécialement conçu vers leur instance de frégate.Cette vulnérabilité pourrait exploiter par un attaquant dans les circonstances suivantes: la frégate exposée publiquement à Internet (même avec l'authentification);L'attaquant connaît l'adresse de l'instance de frégate d'un utilisateur \\;L'attaquant élabore une page spécialisée qui relie à l'instance de frégate de l'utilisateur \\;L'attaquant trouve un moyen d'amener un utilisateur authentifié à visiter sa page spécialisée et à cliquer sur le bouton / lien.Ce problème peut entraîner des mises à jour de configuration arbitraires pour le serveur de frégate, entraînant un déni de service et une éventuelle exfiltration de données.Version 0.13.0 Beta 3 contient un patch.
Frigate is an open source network video recorder. Prior to version 0.13.0 Beta 3, the `config/save` and `config/set` endpoints of Frigate do not implement any CSRF protection. This makes it possible for a request sourced from another site to update the configuration of the Frigate server (e.g. via "drive-by" attack). Exploiting this vulnerability requires the attacker to both know very specific information about a user\'s Frigate server and requires an authenticated user to be tricked into clicking a specially crafted link to their Frigate instance. This vulnerability could exploited by an attacker under the following circumstances: Frigate publicly exposed to the internet (even with authentication); attacker knows the address of a user\'s Frigate instance; attacker crafts a specialized page which links to the user\'s Frigate instance; attacker finds a way to get an authenticated user to visit their specialized page and click the button/link. This issue can lead to arbitrary configuration updates for the Frigate server, resulting in denial of service and possible data exfiltration. Version 0.13.0 Beta 3 contains a patch. |
| Envoyé | Oui |
| Condensat | 2023 45670 `config/save` `config/set` about address another any arbitrary attack attacker authenticated authentication beta both button/link can circumstances: click clicking configuration contains could crafted crafts csrf cve data denial drive endpoints even exfiltration exploited exploiting exposed finds following frigate from get implement information instance instance; internet issue know knows lead link links makes network not open page patch possible prior protection publicly recorder request requires resulting server service site source sourced specialized specially specific tricked under update updates user version very video visit vulnerability way which |
| Tags | Vulnerability |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.