Traccar w wersjach 5.1–5.12 umożliwia nieautoryzowanym użytkownikom wgrywanie dowolnych plików przez API służące do przesyłania obrazów urządzeń. Podatność jest szczególnie groźna, ponieważ domyślna konfiguracja aplikacji znacząco obniża próg jej wykorzystania.
▸ Pokaż oryginał (EN)
Traccar is an open source GPS tracking system. Traccar versions 5.1 through 5.12 allow arbitrary files to be uploaded through the device image upload API. Attackers have full control over the file contents, full control over the directory where the file is stored, full control over the file extension, and partial control over the file name. While it's not for an attacker to overwrite an existing file, an attacker can create new files with certain names and attacker-controlled extensions anywhere on the file system. This can potentially lead to remote code execution, XSS, DOS, etc. The default install of Traccar makes this vulnerability more severe. Self-registration is enabled by default, allowing anyone to create an account to exploit this vulnerability. Traccar also runs by default with root/system privileges, allowing files to be placed anywhere on the file system. Version 6.0 contains a fix for the issue. One may also turn off self-registration by default, as that would make most vulnerabilities in the application much harder to exploit by default and reduce the severity considerably.
Atakujący korzysta z API do przesyłania obrazów urządzeń (device image upload API), uzyskując pełną kontrolę nad zawartością pliku, jego rozszerzeniem oraz katalogiem docelowym na serwerze, a także częściową kontrolę nad nazwą pliku. Choć nadpisanie istniejących plików nie jest możliwe, atakujący może tworzyć nowe pliki o dowolnych rozszerzeniach w dowolnym miejscu systemu plików. W domyślnej instalacji Traccar działa z uprawnieniami root/system, co umożliwia zapis pliku w dowolnej lokalizacji. Ponadto domyślnie włączona samorejestracja pozwala każdemu anonimowemu użytkownikowi założyć konto i natychmiast wykorzystać tę podatność.
Atakujący może doprowadzić do zdalnego wykonania kodu (RCE), przeprowadzić ataki XSS lub wywołać odmowę usługi (DoS) poprzez umieszczenie złośliwych plików w dowolnym miejscu systemu plików serwera.
Należy zaktualizować Traccar do wersji 6.0, która zawiera poprawkę dla tej podatności. Jako dodatkowe środki zaradcze zaleca się wyłączenie opcji samorejestracji użytkowników (self-registration) oraz uruchamianie aplikacji z ograniczonymi uprawnieniami systemowymi zamiast konta root/system, co znacząco utrudnia wykorzystanie podatności.
Traccar w wersjach 5.1 do 5.12 (włącznie)
Domyślna konfiguracja Traccar (włączona samorejestracja + uruchomienie z uprawnieniami root/system) drastycznie zwiększa realną dotkliwość podatności — umożliwia jej wykorzystanie przez dowolną, nieuwierzytelnioną wcześniej osobę. Wyłączenie samorejestracji producent wskazuje jako skuteczny środek ograniczający ryzyko nawet bez aktualizacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HTraccar
APPTraccar5.1 – 5.12
Powiązane podatności
Traccar Server – pominięcie uwierzytelnienia przez domyślne dane logowania
Versions of the Traccar open-source GPS tracking system up to and including 6.11.1 contain an issue in which a...
Versions of the Traccar open-source GPS tracking system starting with 6.11.1 contain an issue in which authent...
Versions of the Traccar open-source GPS tracking system up to and including 6.11.1 contain a Cross-Site WebSoc...
Traccar is an open source GPS tracking system. Prior to 5.11, Traccar is affected by an unrestricted file uplo...