一、 漏洞 CVE-2025-62382 基础信息
漏洞信息
# Frigate 导出缩略图任意文件读取漏洞
## 概述
Frigate 是一个具备实时本地物体检测功能的网络视频录像机(NVR),用于 IP 摄像头管理。在其 0.16.2 版本之前,存在一个文件读取漏洞,允许认证用户读取主机上的任意文件。
## 影响版本
- 所有低于 0.16.2 的版本均受影响。
## 细节
- Frigate 的视频导出功能允许认证用户指定任意文件路径作为缩略图来源。
- 该路径会被原样复制到公开可访问的剪辑目录中。
- 由于缺乏路径访问控制,攻击者可以指定系统上的任意文件路径。
- 在导出任务将文件复制到目标目录至清理机制执行之间存在一个短暂的竞争窗口。
- 攻击者可在此窗口期内访问该文件,实现敏感数据的窃取。
## 影响
- 低权限用户可利用 API 访问权限读取系统上的敏感文件(如配置文件、密钥、用户数据等)。
- 导致 Frigate 本身的容器或宿主机上的信息泄露。
- 破坏了最小权限原则,将一项原本便捷的功能转化为信息泄露入口。
## 修复
漏洞已在 Frigate 0.16.2 版本中修复。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-62382 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-62382 的情报信息
-
标题: Arbitrary File Read via Export Thumbnail "image_path" parameter · Advisory · blakeblackshear/frigate · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: best thumbnail endpoint should pass correct extension param (#19930) · blakeblackshear/frigate@d7f7cd7 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-62382
四、漏洞 CVE-2025-62382 的评论
暂无评论