Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06484

Опубликовано: 10 апр. 2024
Источник: fstec
CVSS3: 9.6
CVSS2: 10
EPSS Средний

Описание

Уязвимость прикладного программного интерфейса GPS-системы Traccar связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём создания или загрузки произвольных файлов

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Traccar

Версия ПО

от 5.1 до 5.12 включительно (Traccar)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к GPS-системе;
- отключение возможности самостоятельной регистрации для ограничения возможности эксплуатации уязвимости (по умолчанию функция включена).
Использование рекомендаций производителя:
https://github.com/traccar/traccar/blob/master/src/main/java/org/traccar/model/Device.java#L56
https://github.com/traccar/traccar/blob/v5.12/src/main/java/org/traccar/api/resource/DeviceResource.java#L191
https://github.com/traccar/traccar/commit/3fbdcd81566bc72e319ec05c77cf8a4120b87b8f
https://github.com/traccar/traccar/security/advisories/GHSA-3gxq-f2qj-c8v9

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 95%
0.17635
Средний

9.6 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-31214

CVSS3: 9.6
nvd
почти 2 года назад

Traccar is an open source GPS tracking system. Traccar versions 5.1 through 5.12 allow arbitrary files to be uploaded through the device image upload API. Attackers have full control over the file contents, full control over the directory where the file is stored, full control over the file extension, and partial control over the file name. While it's not for an attacker to overwrite an existing file, an attacker can create new files with certain names and attacker-controlled extensions anywhere on the file system. This can potentially lead to remote code execution, XSS, DOS, etc. The default install of Traccar makes this vulnerability more severe. Self-registration is enabled by default, allowing anyone to create an account to exploit this vulnerability. Traccar also runs by default with root/system privileges, allowing files to be placed anywhere on the file system. Version 6.0 contains a fix for the issue. One may also turn off self-registration by default, as that would make most

EPSS

Процентиль: 95%
0.17635
Средний

9.6 Critical

CVSS3

10 Critical

CVSS2