CVE-2024-24809

Versões do Traccar anteriores à 6.0

O Traccar é um sistema de rastreamento GPS de código aberto. A vulnerabilidade permite o traversal de caminho e o upload irrestrito de arquivos de tipos perigosos. Como o sistema permite o registro por padrão, invasores podem obter permissões de usuário comum ao registrar uma conta e explorar essa vulnerabilidade para fazer upload de arquivos com o prefixo device. em qualquer pasta. Isso pode ser usado para phishing, ataques de cross-site scripting e, potencialmente, para executar comandos arbitrários no servidor.

Para versões anteriores à 6.0, atualize para a versão 6.0 para resolver o problema. Como solução temporária, considere restringir a capacidade de novos usuários se cadastrarem ou limitar a funcionalidade de upload para impedir a exploração. Restrinja o acesso ao recurso de upload de arquivos para minimizar o risco de upload de arquivos maliciosos.