Traccar - это система GPS с открытым исходным кодом. До 6.13.0 DeviceResource.uploadImage разрешает целевую устройство только через Conditi…

Traccar - это система GPS с открытым исходным кодом. До 6.13.0 DeviceResource.uploadImage разрешает целевую устройство только через Condition.Permission(User.class, getUserId(), Device.class), а затем сразу же транслирует загруженный корпус в mediaManager.createFileStream(...). В отличие от общего пути мутаций в BaseObjectResource.update и явного обновления обработчик мутаций устройстваAcumulators, этот маршрут никогда не вызывает разрешенийService.checkEdit(getUserId(), Device.class, false, false). Пропущенная охрана - это именно то место, где Traccar обеспечивает читательские ограничения и устройстваReadonly для пользователей, не являющихся администраторами. Неавторизованный пользователь может заменить сохраненный файл изображения устройства в каталоге серверных носителей. Это позволяет модифицировать пользовательские смотровые носители устройства и любые рабочие процессы, которые полагаются на сохраняющийся образ, несмотря на то, что другие пути обновления устройств правильно отклоняют ту же идентичность. Эта уязвимость зафиксирована в 6.13.0.