Pubblicato il 2026-07-08 · Fonte: NVD NIST
La vulnerabilità CVE-2026-54652 colpisce la versione 0.17.1 di Frigate, un registratore video di rete open source. Il problema si verifica nell'endpoint GET /api/logs/{service}, che consente a qualsiasi utente autenticato, incluso il ruolo viewer, di scaricare log di Frigate e nginx. Ciò espone password amministrative auto-generate e credenziali di camera registrate nelle stringhe di query delle richieste, consentendo un privilege escalation da viewer ad amministratore. Non è stata identificata una versione corretta.
Un attaccante può sfruttare questa vulnerabilità per ottenere accesso non autorizzato ai log di sistema e alle credenziali di camera, potendo così acquisire informazioni sensibili e aumentare i propri privilegi all'interno del sistema. I sistemi a rischio sono quelli che utilizzano la versione 0.17.1 di Frigate, in particolare quelli che espongono l'endpoint GET /api/logs/{service} a utenti autenticati con ruolo viewer.
Vendor: N/A
Prodotti: N/A
Poiché non è stata rilasciata una versione corretta, si consiglia di limitare l'accesso all'endpoint GET /api/logs/{service} solo agli utenti con ruoli amministrativi e di monitorare regolarmente i log di sistema per rilevare eventuali accessi non autorizzati. Inoltre, è importante implementare le migliori pratiche di sicurezza, come l'utilizzo di password complesse e l'abilitazione dell'autenticazione a due fattori, per ridurre il rischio di attacchi.
La vulnerabilità CVE-2026-54652 è un problema di sicurezza in Frigate che consente a utenti autenticati di scaricare log sensibili, esponendo credenziali amministrative e di camera.
I sistemi a rischio sono quelli che utilizzano la versione 0.17.1 di Frigate e espongono l'endpoint GET /api/logs/{service} a utenti autenticati con ruolo viewer.
Per proteggersi da questa vulnerabilità, è consigliabile limitare l'accesso all'endpoint GET /api/logs/{service} solo agli utenti con ruoli amministrativi e implementare le migliori pratiche di sicurezza, come l'utilizzo di password complesse e l'abilitazione dell'autenticazione a due fattori.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.