CVE-2026-25643 — 神龙十问 AI 深度分析摘要

🚨 **本质**：命令注入（RCE）。Frigate 未清理视频流配置中的用户输入，导致攻击者可通过 `exec` 指令直接注入系统命令。后果：服务器被完全控制。

🔍 **根本原因**：**CWE-78**（OS 命令注入）。缺陷点在于**未清理用户输入**，直接拼接执行，缺乏严格的过滤机制。

🛡️ **影响范围**：**Frigate** 产品，版本 **≤ 0.16.3**。由 Blake Blackshear 开发，专为家庭 AI 监控设计的本地 NVR。

💀 **黑客能力**：**远程命令执行 (RCE)**。可获取服务器最高权限，任意读取、修改、删除数据，甚至横向渗透内网。

⚠️ **利用门槛**：**中等**。CVSS 显示需 **PR:H**（高权限认证），即攻击者需先拥有 Frigate 账号权限，才能配置恶意视频流触发漏洞。

💣 **现成 Exp**：**有**。GitHub 上已有 PoC 代码（如 `CVE-2026-25643-Frigate-RCE`），利用方式为 go2rtc exec 注入。

🔎 **自查方法**：检查 Frigate 版本是否低于 0.16.4。扫描配置中是否存在未过滤的 `exec` 字段或可疑的视频流配置参数。

✅ **官方修复**：**已修复**。官方发布 **v0.16.4** 版本修复此漏洞，建议立即升级。

🛑 **临时规避**：若无法升级，**禁止**在视频流配置中使用用户可控的 `exec` 参数。严格限制 Frigate 访问权限，仅对可信用户开放配置功能。

🔥 **优先级**：**高**。虽然需认证，但 RCE 危害极大（CVSS 高分）。一旦内网账号泄露，后果严重。建议 **立即升级** 或实施严格访问控制。