دو آسیبپذیری امنیتی در سیستم ردیابی Traccar GPS منبع باز فاش شده است که میتوانند به طور بالقوه توسط مهاجمان احراز هویت نشده برای دستیابی به اجرای کد از راه دور تحت شرایط خاص مورد سوء استفاده قرار گیرند.
محقق Horizon3.ai گفت که هر دو آسیبپذیری نقصهایی در پیمایش مسیر هستند و در صورت فعال بودن ثبت مهمان، که پیکربندی پیشفرض Traccar 5 است، میتوانند به سلاح تبدیل شوند. شرح مختصری از نقصها به شرح زیر است :
- CVE-2024-24809 (امتیاز CVSS: 8.5) آسیبپذیری پیمایش مسیر: ‘dir/../../filename’ و آپلود نامحدود فایل با نوع خطرناک
- CVE-2024-31214 (امتیاز CVSS: 9.7) آسیبپذیری آپلود نامحدود فایل در آپلود تصویر دستگاه میتواند منجر به اجرای کد از راه دور شود.
https://thehackernews.com/2024/08/critical-flaws-in-traccar-gps-system.html
