CVE-2026-44314

Nome do Software Vulnerável e Versões Afetadas Traccar versões anteriores a 6.13.0

Descrição Existe uma falha de bypass de autorização no sistema de rastreamento GPS onde o endpoint 'DeviceResource.uploadImage' não invoca a função permissionsService.checkEdit(). Embora o sistema utilize Condition.Permission(User.class, getUserId(), Device.class) para a autorização inicial, ele ignora a proteção que impõe as restrições readonly e deviceReadonly para usuários não administradores. Isso permite que um usuário não autorizado substitua o arquivo de imagem armazenado de um dispositivo no diretório de mídia do servidor, modificando a mídia visível na interface do usuário e afetando fluxos de trabalho subsequentes que dependem da imagem persistida.

Recomendações Atualizar para a versão 6.13.0.