Vulnerabilidad en Frigate (CVE-2023-45671)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
30/10/2023
Última modificación:
13/12/2023
Descripción
Frigate es una grabadora de vídeo en red de código abierto. Antes de la versión 0.13.0 Beta 3, había una vulnerabilidad de cross-site scripting reflejada en cualquier endpoint de API que dependiera de la ruta base `/`, ya que los valores proporcionados para la ruta no están sanitizados. Explotar esta vulnerabilidad requiere que el atacante conozca información muy específica sobre el servidor Frigate de un usuario y requiere que se engañe a un usuario autenticado para que haga clic en un enlace especialmente manipulado a su instancia de Frigate. Esta vulnerabilidad podría ser aprovechada por un atacante en las siguientes circunstancias: Fragata expuesta públicamente a Internet (incluso con autenticación); el atacante conoce la dirección de la instancia de Frigate de un usuario; el atacante crea una página especializada que enlaza con la instancia de Frigate del usuario; El atacante encuentra una manera de lograr que un usuario autenticado visite su página especializada y haga clic en el botón/enlace. Como los valores reflejados incluidos en la URL no se sanitiza ni se escapan, esto permite la ejecución de payloads de Javascript arbitrarios. La versión 0.13.0 Beta 3 contiene un parche para este problema.
Impacto
Puntuación base 3.x
4.70
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:frigate:frigate:*:*:*:*:*:*:*:* | 0.13.0 (incluyendo) | |
| cpe:2.3:a:frigate:frigate:0.13.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:frigate:frigate:0.13.0:beta2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página