Vulnerabilidad en Frigate (CVE-2023-45670)

Frigate es una grabadora de vídeo en red de código abierto. Antes de la versión 0.13.0 Beta 3, los endpoints `config/save` y `config/set` de Frigate no implementan ninguna protección CSRF. Esto hace posible que una solicitud procedente de otro sitio actualice la configuración del servidor Frigate (por ejemplo, mediante un ataque "drive-by"). Explotar esta vulnerabilidad requiere que el atacante conozca información muy específica sobre el servidor Frigate de un usuario y requiere que se engañe a un usuario autenticado para que haga clic en un enlace especialmente manipulado a su instancia de Frigate. Esta vulnerabilidad podría ser aprovechada por un atacante en las siguientes circunstancias: Fragata expuesta públicamente a Internet (incluso con autenticación); el atacante conoce la dirección de la instancia de Frigate de un usuario; el atacante crea una página especializada que enlaza con la instancia de Frigate del usuario; El atacante encuentra una manera de lograr que un usuario autenticado visite su página especializada y haga clic en el botón/enlace. Este problema puede provocar actualizaciones de configuración arbitrarias para el servidor Frigate, lo que resulta en denegación de servicio y posible filtración de datos. La versión 0.13.0 Beta 3 contiene un parche.