Версии системы GPS-слежения Traccar с открытым исходным кодом до 6.11.1 включительно содержат проблему, из-за которой аутентифицированные пользователи, которые могут создавать или редактировать устройства, могут устанавливать для устройства uniqueId абсолютный путь. При загрузке образа устройства Traccar использует этот уникальный идентификатор для создания пути к файловой системе, не гарантируя, что разрешенный путь останется в корне носителя. Это позволяет записывать файлы за пределами медиа-каталога.
На момент публикации неясно, доступно ли исправление.
Показать оригинальное описание (EN)
Versions of the Traccar open-source GPS tracking system up to and including 6.11.1 contain an issue in which authenticated users who can create or edit devices can set a device `uniqueId` to an absolute path. When uploading a device image, Traccar uses that `uniqueId` to build the filesystem path without enforcing that the resolved path stays under the media root. This allows writing files outside the media directory. As of time of publication, it is unclear whether a fix is available.
Характеристики атаки
Последствия
Строка CVSS v3.1