Vulnerabilidad en Traccar (CVE-2024-31214)

Traccar es un sistema de rastreo GPS de código abierto. Las versiones 5.1 a 5.12 de Traccar permiten cargar archivos arbitrarios a través de la API de carga de imágenes del dispositivo. Los atacantes tienen control total sobre el contenido del archivo, control total sobre el directorio donde se almacena el archivo, control total sobre la extensión del archivo y control parcial sobre el nombre del archivo. Si bien no le corresponde a un atacante sobrescribir un archivo existente, un atacante puede crear nuevos archivos con ciertos nombres y extensiones controladas por el atacante en cualquier parte del sistema de archivos. Esto puede conducir potencialmente a la ejecución remota de código, XSS, DOS, etc. La instalación predeterminada de Traccar hace que esta vulnerabilidad sea más grave. El autorregistro está habilitado de forma predeterminada, lo que permite que cualquiera cree una cuenta para explotar esta vulnerabilidad. Traccar también se ejecuta de forma predeterminada con privilegios de root/sistema, lo que permite colocar archivos en cualquier parte del sistema de archivos. La versión 6.0 contiene una solución para el problema. También se puede desactivar el autorregistro de forma predeterminada, ya que eso haría que la mayoría de las vulnerabilidades de la aplicación sean mucho más difíciles de explotar de forma predeterminada y reduciría considerablemente la gravedad.