Vulnerabilidad en Traccar open-source GPS (CVE-2025-68930)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

23/02/2026

Última modificación:

26/02/2026

Descripción

Las versiones del sistema de seguimiento GPS de código abierto Traccar hasta la 6.11.1 inclusive contienen una vulnerabilidad de Secuestro de WebSocket entre Sitios (CSWSH) en el endpoint `/api/socket`. La aplicación no valida el encabezado &#39;Origin&#39; durante el handshake de WebSocket. Esto permite a un atacante remoto eludir la Política del Mismo Origen (SOP) y establecer una conexión WebSocket full-duplex utilizando las credenciales de un usuario legítimo (JSESSIONID). En el momento de la publicación, no está claro si hay una solución disponible.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.10

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:traccar:traccar::::::::		6.11.1 (incluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/traccar/traccar/security/advisories/GHSA-69x6-wcx2-vghp