anonhaven

CVE-2026-33124

HIGH CVSS 4.0: 8,6 EPSS 0.05%
Обновлено 23 марта 2026
Frigate
Параметр Значение
CVSS 8,6 (HIGH)
Уязвимые версии до 0.17.0
Устранено в версии 0.17.0
Тип уязвимости CWE-287 (Неправильная аутентификация)
Поставщик Frigate
Публичный эксплойт Нет

Frigate — это сетевой видеорегистратор (NVR) с обнаружением локальных объектов в реальном времени для IP-камер. Версии до 0.17.0-beta1 позволяют любому авторизованному пользователю менять свой пароль без проверки текущего пароля через конечную точку /users/{username}/password. Изменение пароля не делает недействительными существующие токены JWT, и проверка надежности пароля не производится.

Если злоумышленник получает действительный токен сеанса (например, посредством случайно раскрытого JWT, украденного файла cookie, XSS, взломанного устройства или перехвата HTTP), он может изменить пароль жертвы и получить постоянный контроль над учетной записью. Поскольку изменение пароля не делает недействительными существующие токены JWT, перехваты сеансов сохраняются даже после сброса пароля. Кроме того, отсутствие проверки надежности пароля подвергает учетные записи атакам методом перебора.

Эта проблема решена в версии 0.17.0-beta1.

Показать оригинальное описание (EN)

Frigate is a network video recorder (NVR) with realtime local object detection for IP cameras. Versions prior to 0.17.0-beta1 allow any authenticated user to change their own password without verifying the current password through the /users/{username}/password endpoint. Changing a password does not invalidate existing JWT tokens, and there is no validation of password strength. If an attacker obtains a valid session token (e.g., via accidentally exposed JWT, stolen cookie, XSS, compromised device, or sniffing over HTTP), they can change the victim’s password and gain permanent control of the account. Since password changes do not invalidate existing JWT tokens, session hijacks persist even after a password reset. Additionally, the lack of password strength validation exposes accounts to brute-force attacks. This issue has been resolved in version 0.17.0-beta1.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-287 Improper Authentication (Неправильная аутентификация)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Frigate Frigate
cpe:2.3:a:frigate:frigate:*:*:*:*:*:*:*:*
 0.17.0

Ссылки 2

https://github.com/blakeblackshear/frigate/commit/152e58520614610988bff3b6ff55d…
security-advisories@github.com
https://github.com/blakeblackshear/frigate/security/advisories/GHSA-24p8-r573-v…
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33470

Frigate

4,3

CVE-2026-33469

Frigate

6,5

CVE-2026-33126

Frigate

4,3

CVE-2026-33125

Frigate

8,1