blakeblackshear frigate bis 0.16.3 go2rtc Service erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.8 | $0-$5k | 0.72 |
Zusammenfassung
In blakeblackshear frigate bis 0.16.3 wurde eine kritische Schwachstelle entdeckt. Davon betroffen ist unbekannter Code der Komponente go2rtc Service. Mittels dem Manipulieren mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2026-25643 geführt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
In blakeblackshear frigate bis 0.16.3 wurde eine kritische Schwachstelle gefunden. Es geht um eine unbekannte Funktion der Komponente go2rtc Service. Dank der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-78. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Frigate is a network video recorder (NVR) with realtime local object detection for IP cameras. Prior to 0.16.4, a critical Remote Command Execution (RCE) vulnerability has been identified in the Frigate integration with go2rtc. The application does not sanitize user input in the video stream configuration (config.yaml), allowing direct injection of system commands via the exec: directive. The go2rtc service executes these commands without restrictions. This vulnerability is only exploitable by an administrator or users who have exposed their Frigate install to the open internet with no authentication which allows anyone full administrative control. This vulnerability is fixed in 0.16.4.Das Advisory kann von github.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 04.02.2026 mit CVE-2026-25643 vorgenommen. Das Ausnutzen gilt als leicht. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Zur Ausnutzung ist eine erweiterte Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1202.
Unter exploit-db.com wird der Exploit bereitgestellt. Er wird als proof-of-concept gehandelt.
Ein Upgrade auf die Version 0.16.4 vermag dieses Problem zu beheben. Eine neue Version kann von github.com bezogen werden.
Unter anderem wird der Fehler auch in den Datenbanken von Exploit-DB (52533) und EUVD (EUVD-2026-5586) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Produkt
Hersteller
Name
Version
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.1VulDB Meta Temp Score: 7.8
VulDB Base Score: 7.2
VulDB Temp Score: 6.5
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 9.1
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-78 / CWE-77 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Exploit-DB: 🔒
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: frigate 0.16.4
Timeline
04.02.2026 CVE zugewiesen06.02.2026 Advisory veröffentlicht
06.02.2026 VulDB Eintrag erstellt
01.05.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: GHSA-4c97-5jmr-8f6x
Status: Bestätigt
CVE: CVE-2026-25643 (🔒)
GCVE (CVE): GCVE-0-2026-25643
GCVE (VulDB): GCVE-100-344740
EUVD: 🔒
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 06.02.2026 21:32Aktualisierung: 01.05.2026 18:50
Anpassungen: 06.02.2026 21:32 (66), 07.02.2026 13:18 (1), 01.05.2026 18:50 (11)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.