Frigate — это сетевой видеорегистратор (NVR) с обнаружением локальных объектов в реальном времени для IP-камер. В версии 0.17.0 аутентифицированный пользователь с низким уровнем привилегий, ограниченный одной камерой, может получить доступ к снимкам с других камер. Это возможно через цепочку из двух проблем с авторизацией: `/api/timeline` возвращает записи временной шкалы для камер, не входящих в разрешенный набор камер вызывающего объекта, затем `/api/events/{event_id}/snapshot-clean.webp` объявляет `Depends(require_camera_access)`, но никогда фактически не проверяет `event.camera` после поиска события.
В совокупности это позволяет пользователю с ограниченными правами перечислять идентификаторы событий с неавторизованных камер, а затем получать чистые снимки этих событий. Версия 0.17.1 устраняет проблему.
Показать оригинальное описание (EN)
Frigate is a network video recorder (NVR) with realtime local object detection for IP cameras. In version 0.17.0, a low-privilege authenticated user restricted to one camera can access snapshots from other cameras. This is possible through a chain of two authorization problems: `/api/timeline` returns timeline entries for cameras outside the caller's allowed camera set, then `/api/events/{event_id}/snapshot-clean.webp` declares `Depends(require_camera_access)` but never actually validates `event.camera` after looking up the event. Together, this allows a restricted user to enumerate event IDs from unauthorized cameras and then fetch clean snapshots for those events. Version 0.17.1 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Frigate Frigate
cpe:2.3:a:frigate:frigate:0.17.0:*:*:*:*:*:*:*
|
— | — |