GPS tracker RCE sérülékenység
A Traccar egy népszerű nyílt forráskódú GPS tracker rendszer, amelyet mind a magánszemélyek, mind a vállalkozások flottakezelésre használnak. A Horizon3.ai bejegyzése a Traccar 5-öt érintő két kapcsolódó path traversal sérülékenységgel foglalkozik, amelyek távoli kódfuttatáshoz (RCE) vezethetnek: A Horizon3.ai által bejelentett CVE-2024-31214 és a @yiliufeng168 által bejelentett CVE-2024-24809 sérülékenységeket kihasználhatják a nem hitelesített támadók, ha a vendégregisztráció engedélyezve van, ami a Traccar 5 alapértelmezett konfigurációja.
A Traccar egy Java-alapú alkalmazás, amely webkiszolgálóként a Jetty-t futtatja. A Traccar felületén belül a felhasználók regisztrálhatják az eszközöket a nyomon követéshez. Ezek az eszközök számos protokollon keresztül kommunikálnak a Traccar szerverrel, hogy közöljék a helyzetüket. A CVE-2024-31214 és CVE-2024-24809 több hibátérint az eszközkép-fájlok feltöltését kezelő kódban.
Az eszközkép feltöltő API három változó alapján tölti fel a fájlt egy helyre: az eszköz egyedi azonosítója; egy statikus fájlnév, amelyet device-nak hívnak; egy kiterjesztés a Content-Type fejlécből.
