CRITICAL🇬🇧 English

CVE-2024-31214

Traccar: nieograniczony upload plików prowadzący do RCE

CVSS 9.6v3.1pub. 2024-04-10upd. 2025-01-09

Traccar w wersjach 5.1–5.12 umożliwia nieautoryzowanym użytkownikom wgrywanie dowolnych plików przez API służące do przesyłania obrazów urządzeń. Podatność jest szczególnie groźna, ponieważ domyślna konfiguracja aplikacji znacząco obniża próg jej wykorzystania.

Pokaż oryginał (EN)

Traccar is an open source GPS tracking system. Traccar versions 5.1 through 5.12 allow arbitrary files to be uploaded through the device image upload API. Attackers have full control over the file contents, full control over the directory where the file is stored, full control over the file extension, and partial control over the file name. While it's not for an attacker to overwrite an existing file, an attacker can create new files with certain names and attacker-controlled extensions anywhere on the file system. This can potentially lead to remote code execution, XSS, DOS, etc. The default install of Traccar makes this vulnerability more severe. Self-registration is enabled by default, allowing anyone to create an account to exploit this vulnerability. Traccar also runs by default with root/system privileges, allowing files to be placed anywhere on the file system. Version 6.0 contains a fix for the issue. One may also turn off self-registration by default, as that would make most vulnerabilities in the application much harder to exploit by default and reduce the severity considerably.

🤖 Analiza AI
Jak działa

Atakujący korzysta z API do przesyłania obrazów urządzeń (device image upload API), uzyskując pełną kontrolę nad zawartością pliku, jego rozszerzeniem oraz katalogiem docelowym na serwerze, a także częściową kontrolę nad nazwą pliku. Choć nadpisanie istniejących plików nie jest możliwe, atakujący może tworzyć nowe pliki o dowolnych rozszerzeniach w dowolnym miejscu systemu plików. W domyślnej instalacji Traccar działa z uprawnieniami root/system, co umożliwia zapis pliku w dowolnej lokalizacji. Ponadto domyślnie włączona samorejestracja pozwala każdemu anonimowemu użytkownikowi założyć konto i natychmiast wykorzystać tę podatność.

Skutki

Atakujący może doprowadzić do zdalnego wykonania kodu (RCE), przeprowadzić ataki XSS lub wywołać odmowę usługi (DoS) poprzez umieszczenie złośliwych plików w dowolnym miejscu systemu plików serwera.

Mitygacja

Należy zaktualizować Traccar do wersji 6.0, która zawiera poprawkę dla tej podatności. Jako dodatkowe środki zaradcze zaleca się wyłączenie opcji samorejestracji użytkowników (self-registration) oraz uruchamianie aplikacji z ograniczonymi uprawnieniami systemowymi zamiast konta root/system, co znacząco utrudnia wykorzystanie podatności.

Kogo dotyczy

Traccar w wersjach 5.1 do 5.12 (włącznie)

Uwagi

Domyślna konfiguracja Traccar (włączona samorejestracja + uruchomienie z uprawnieniami root/system) drastycznie zwiększa realną dotkliwość podatności — umożliwia jej wykorzystanie przez dowolną, nieuwierzytelnioną wcześniej osobę. Wyłączenie samorejestracji producent wskazuje jako skuteczny środek ograniczający ryzyko nawet bez aktualizacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Traccar

    APP
    Traccar
    5.1 – 5.12
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEXSS
CWE
Referencje

Powiązane podatności

CVE-2024-7746CRITICAL9.5PL ✓ten sam produkt

Traccar Server – pominięcie uwierzytelnienia przez domyślne dane logowania

CVE-2026-25649HIGH7.3ten sam produkt

Versions of the Traccar open-source GPS tracking system up to and including 6.11.1 contain an issue in which a...

CVE-2026-25648HIGH8.7ten sam produkt

Versions of the Traccar open-source GPS tracking system starting with 6.11.1 contain an issue in which authent...

CVE-2025-68930HIGH7.1ten sam produkt

Versions of the Traccar open-source GPS tracking system up to and including 6.11.1 contain a Cross-Site WebSoc...

CVE-2023-50729HIGH8.4ten sam produkt

Traccar is an open source GPS tracking system. Prior to 5.11, Traccar is affected by an unrestricted file uplo...