CVE-2026-33469Frigate是一款具有实时本地对象检测功能的网络视频录像机(NVR)。在0.17.0版本中,系统存在一个权限控制缺陷,允许经过身份验证的非管理员用户通过访问 `/api/config/raw` 接口获取完整的原始配置文件。该漏洞导致原本被隐藏的敏感信息(如摄像头凭据、MQTT密码等)泄露,这是由于API重构时的访问控制配置错误所致。该问题已在0.17.1版本中修复。
该漏洞源于Frigate在版本0.17.0进行的“admin-by-default” API重构过程中引入的访问控制缺陷。在重构设计中,系统本意是将敏感配置信息的读取权限限制在管理员层级。正常情况下,`/api/config` 端点会返回经过脱敏处理的配置信息,隐藏密码等敏感字段。然而,开发者在实施权限控制时出现了疏漏:虽然 `/api/config/raw_paths` 等相关接口已被正确设置为仅管理员可访问,但用于导出完整原始配置的 `/api/config/raw` 接口却未受到同样的保护。攻击者只需拥有Frigate系统的任意有效普通用户账号(无需管理员权限),即可直接构造HTTP GET请求访问 `/api/config/raw` 接口。服务器端验证逻辑缺失,导致直接返回包含明文敏感数据的 `config.yml` 文件内容。泄露的信息包括但不限于IP摄像头的登录凭据、go2rtc流媒体凭证、MQTT服务密码、代理密钥等。攻击者利用这些凭据可直接接管摄像头设备或关联服务,严重威胁系统安全性。