nvd,anchore_overrides
Traccar
Уязвимости
17
Эксплуатируемые
0
Критический
5
Высокий
4
Топ уязвимостей
CVE-2023-50729Traccar — это система GPS-слежения с открытым исходным кодом. До версии 5.11 Traccar подвержен уязвимости неограниченной загрузки файлов. Функция File позволяет злоумышленникам выполнять произвольный код на сервере. Эта уязвимость более распространена, поскольку Traccar рекомендуется запускать веб-серверы от имени пользователя root. Это также более опасно, поскольку позволяет записывать или перезаписывать файлы в произвольных местах. Версия 5.11 была опубликована для исправления этой уязвимости.
CVE-2019-5748В Traccar Server версии 4.2 protocol/SpotProtocolDecoder.java может допускать атаки XXE.
CVE-2018-1000881Traccar Traccar Server версии 4.0 и более ранних содержит CWE-94: ненадлежащий контроль генерации кода (инъекция кода) в ComputedAttributesHandler.java, что может привести к удаленному выполнению команд. Эта атака, по-видимому, может быть использована удаленно: запрос веб-приложения пользователем, зарегистрированным самостоятельно. Эта уязвимость, по-видимому, была исправлена в версии 4.1 и более поздних.
CVE-2024-31214Traccar — это система GPS-слежения с открытым исходным кодом. Traccar версий с 5.1 по 5.12 позволяет загружать произвольные файлы через API загрузки изображений устройства. Злоумышленники имеют полный контроль над содержимым файла, полный контроль над каталогом, в котором хранится файл, полный контроль над расширением файла и частичный контроль над именем файла. Хотя злоумышленнику не стоит перезаписывать существующий файл, злоумышленник может создавать новые файлы с определенными именами и контролируемыми злоумышленником расширениями в любом месте файловой системы. Это потенциально может привести к удаленному выполнению кода, XSS, DOS и т. д. Установка Traccar по умолчанию делает эту уязвимость более серьезной. Самостоятельная регистрация включена по умолчанию, что позволяет любому создать учетную запись для использования этой уязвимости. Traccar также запускается по умолчанию с привилегиями root/системы, что позволяет размещать файлы в любом месте файловой системы. Версия 6.0 содержит исправление этой проблемы. Можно также отключить самостоятельную регистрацию по умолчанию, так как это значительно затруднит использование большинства уязвимостей в приложении по умолчанию и значительно снизит серьезность.
CVE-2024-7746Уязвимость использования учетных данных по умолчанию в Tananaev Solutions Traccar Server на модулях панели администратора позволяет злоупотреблять аутентификацией. Эта проблема затрагивает привилегированные транзакции, реализованные решением Traccar, которые в противном случае должны быть защищены механизмом аутентификации.
Эти транзакции могут оказать влияние на любой конфиденциальный аспект платформы, включая конфиденциальность, целостность и доступность.
CVE-2026-25649Версии системы GPS-слежения Traccar с открытым исходным кодом до 6.11.1 включительно содержат проблему, в которой аутентифицированные пользователи могут украсть коды авторизации OAuth 2.0, используя уязвимость открытого перенаправления в двух конечных точках, связанных с OIDC. Параметр `redirect_uri` не проверяется по белому списку, что позволяет злоумышленникам перенаправлять коды авторизации на URL-адреса, контролируемые злоумышленником, что позволяет захватить учетную запись в любом интегрированном OAuth приложении. На момент публикации неясно, доступно ли исправление.
CVE-2026-25648Версии системы GPS с открытым исходным кодом Traccar, начиная с 6.11.1, содержат проблему, в которой аутентифицированные пользователи могут выполнять произвольный JavaScript в контексте браузеров других пользователей, загружая вредоносные файлы SVG в качестве изображений устройства. Приложение принимает загрузки файлов SVG без дезинфекции и обслуживает их с помощью `image/svg+xml` Content-Type, позволяя встроенному JavaScript выполнять при просмотре изображения жертвами. На момент публикации неясно, доступно ли исправление.
CVE-2025-61666Traccar (версии 5.8‑6.8.1) на Windows допускает неаутентифицированный локальный обход файловой системы (LFI) через статический Override‑Servlet. При включённом параметре web.override (по умолчанию включено начиная с версии 6.1) путь, передаваемый в addPath, обрабатывается без нормализации обратных слэшей, позволяя запросить произвольные файлы, в частности conf/traccar.xml с учётными данными. Уязвимость исправлена в версии 6.9.0, где Override‑Servlet удалён. Подробнее см. GHSA‑hprc‑rph8‑fj87 и исходный код DefaultOverrideServlet.java [1][2].
Источники:
- [1] https://github.com/traccar/traccar/security/advisories/GHSA-hprc-rph8-fj87
- [2] https://github.com/traccar/traccar/blob/v6.8.1/src/main/java/org/traccar/web/DefaultOverrideServlet.java
CVE-2024-24809Traccar — это система GPS-слежения с открытым исходным кодом. Версии до 6.0 уязвимы к обходу пути и неограниченной загрузке файлов с опасным типом. Поскольку система по умолчанию разрешает регистрацию, злоумышленники могут получить обычные пользовательские разрешения, зарегистрировав учетную запись, и использовать эту уязвимость для загрузки файлов с префиксом `device.` в любую папку. Злоумышленники могут использовать эту уязвимость для фишинга, межсайтовых сценариев и потенциально выполнять произвольные команды на сервере. Версия 6.0 содержит исправление для этой проблемы.
CVE-2026-27644Traccar - это система GPS с открытым исходным кодом. В версиях между 6.11.1 и 6.13.0 функция экспорта CSV записывает данные о местоположении, включая управляемое пользователем устройство и вычисленные атрибуты, на вывод CSV без надлежащего выхода. Злоумышленник может вводить формулы электронных таблиц через экспортируемые поля. Когда менеджер или администратор открывает экспортируемый файл CSV в программном обеспечении электронных таблиц, это может привести к исполнению формулы и привести к выполнению команды или эксфильтрации данных. Это было исправлено в версии 6.13.0.
CVE-2026-23521Версии системы GPS с открытым исходным кодом Traccar до 6.11.1 включительно содержат проблему, в которой аутентифицированные пользователи, которые могут создавать или редактировать устройства, могут установить устройство «уникально на путь». При загрузке изображения устройства Traccar использует этот «уникрей» для построения пути файловой системы, не принуждая, чтобы решенный путь оставался под корнем носителя. Это позволяет писать файлы за пределами медиа-каписания. На момент публикации неясно, доступно ли исправление.
CVE-2025-68930Версии системы GPS с открытым исходным кодом Traccar до 6.11.1 включительно содержат уязвимость угона веб-сокета Cross-Site (CSWSH) в конечной точке `/avi/socket`. Приложение не в состоянии проверить заголовок «Происхождение» во время рукопожатия WebSocket. Это позволяет удаленному злоумышленнику обойти Политику одного и того же происхождения (SOP) и установить полнодуплексное соединение WebSocket с использованием учетных данных законного пользователя (JSESSIONID). На момент публикации неясно, доступно ли исправление.
CVE-2020-5246Система GPS-слежения Traccar до версии 4.9 имеет уязвимость к LDAP-инъекциям. Она возникает, когда пользовательский ввод используется в фильтре поиска LDAP. Предоставив специально созданный ввод, злоумышленник может изменить логику запроса LDAP и получить права администратора. Проблема затрагивает только экземпляры с конфигурацией LDAP и где пользователи могут создавать свои собственные имена. Эта проблема была исправлена в версии 4.9.
CVE-2021-21292Traccar — это система GPS-слежения с открытым исходным кодом. В Traccar версий до 4.12 существует уязвимость, связанная с путем к исполняемому файлу Windows без кавычек. Затронуты только версии Windows. Злоумышленнику необходим доступ для записи в файловую систему на хост-компьютере. Если путь Java содержит пробел, злоумышленник может повысить свои привилегии до уровня службы Traccar (система). Это исправлено в версии 4.12.
CVE-2026-27694Traccar - это система GPS с открытым исходным кодом. В версиях org.traccar:traccar, начиная с 6.11.1 до 6.13.0, шаблоны уведомлений по электронной почте включают контролируемое пользователем устройство, геозону и имена драйверов в HTML-вывод электронной почты без надлежащего выхода. Злоумышленник с низкими привилегиями может хранить созданный HTML в этих полях, который затем отображается в электронных письмах уведомлений, отправляемых другим пользователям с доступом к затронутым устройствам. Это может привести к фишингу или поддельному содержимому электронной почты. Эта проблема исправлена в версии 6.13.0.
CVE-2026-27693Traccar - это система GPS с открытым исходным кодом. В версиях org.traccar:traccar, начиная с 6.11.1 до 6.13.0, функция экспорта KML и GPX записывает названия устройств на выход XML без надлежащего выхода. Злоумышленник с низкими привилегиями может создать устройство с созданным именем, которое вводит XML-контент в экспортируемые файлы. Если другой пользователь экспортирует и открывает затронутый файл KML или GPX, это может повредить файловую структуру и подделку экспортированных данных о местоположении. Эта проблема исправлена в версии 6.13.0.
CVE-2026-44314Traccar - это система GPS с открытым исходным кодом. До 6.13.0 DeviceResource.uploadImage разрешает целевую устройство только через Condition.Permission(User.class, getUserId(), Device.class), а затем сразу же транслирует загруженный корпус в mediaManager.createFileStream(...). В отличие от общего пути мутаций в BaseObjectResource.update и явного обновления обработчик мутаций устройстваAcumulators, этот маршрут никогда не вызывает разрешенийService.checkEdit(getUserId(), Device.class, false, false). Пропущенная охрана - это именно то место, где Traccar обеспечивает читательские ограничения и устройстваReadonly для пользователей, не являющихся администраторами. Неавторизованный пользователь может заменить сохраненный файл изображения устройства в каталоге серверных носителей. Это позволяет модифицировать пользовательские смотровые носители устройства и любые рабочие процессы, которые полагаются на сохраняющийся образ, несмотря на то, что другие пути обновления устройств правильно отклоняют ту же идентичность. Эта уязвимость зафиксирована в 6.13.0.